Контакты
Подписка 2025
Статьи по информационной безопасности

Потеряет ли актуальность Vulnerability Management с повсеместным внедрением процессов безопасной разработки?

Редакция журнала "Информационная безопасность", 10/06/24

Традиционные методы управления уязвимостями (Vulnerability Management) долгое время были основой защиты ИТ-инфраструктуры, позволяя своевременно выявлять и устранять слабые места в системах. Однако с распространением процессов безопасной разработки (РБПО) встает вопрос: не потеряет ли актуальность управление уязвимостями? Редакция журнала "Информационная безопасность" поинтересовалась мнением экспертов.

ris3

Эксперты:

  • Николай КазанцевCEO SECURITM
  • Николай Лишкедиректор центра кибербезопасности АО “Эшелон Технологии”
  • Андрей Никоновглавный аналитик, “Фродекс”
  • Павел Поповлидер практики продуктов для управления уязвимостями, Positive Technologies
  • Константин Саматовчлен Правления Ассоциации руководителей служб информационной безопасности
  • Андрей Селивановпродукт-менеджер R-Vision VM
  • Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
  • Дмитрий Овчинниковглавный специалист отдела комплексных систем защиты информации, “Газинформсервис”
  • Роман Овчинниковруководитель отдела исполнения Security Vision
  • Сергей Уздемирзаместитель генерального директора “АЛТЭКС-СОФТ” по ИТ

Андрей Никонов, Фродекс:

Принципы безопасной разработки основываются на опыте инцидентов с уязвимостями в приложениях. То есть всегда сначала находились и эксплуатировались уязвимости, а затем разработка менялась так, чтобы избегать их появления как можно раньше (shift left). И вряд ли это изменится в будущем – VM всегда будет подсказывать, как создавать более безопасное ПО. Кроме того, есть угрозы, которые не зависят от разработчиков, например ошибки конфигурирования систем и приложений.

Роман Овчинников, Security Vision:

Современные процессы безопасной разработки надежно связаны с устранением уязвимостей и не исключают друг друга. За счет гибкой интеграции ИТ-решений и процессов ИБ можно достигнуть настоящей эффективности и создать экосистему, в которой решения будут дополнять друг друга. Поэтому актуальность применения VM не только не теряется, но глубже встраивается в DevSecOps.

Павел Попов, Positive Technologies:

Нет, так как безопасная разработка не может полностью закрыть появление новых уязвимостей в продуктах. Если была найдена новая уязвимость, а клиент не обновился на последнюю версию ПО, то необходима система, которая покажет эти уязвимости в конкретной версии продуктов. Кроме того, если относить конфигурационное несоответствие к процессу Vulnerability Management, то проверка по compliance control не закрывается безопасной разработкой.

Андрей Селиванов, R-Vision:

Безопасная разработка (DevSecOps) направлена на устранение уязвимостей еще на этапе разработки ПО, однако она не является гарантом обеспечения полноценной защиты. Злоумышленники непрерывно ищут новые уязвимости в популярном и широко распространенном ПО. Поэтому необходимо обеспечивать дополнительную защиту при помощи VM-систем, которые служат для обнаружения и устранения уязвимостей, помогая службам ИБ и ИТ снизить риски по их эксплуатации до минимума. Таким образом, наряду с DevSecOps внедренный процесс VM усиливает защиту от вероятных атак, которые могут повлечь за собой потери для бизнеса.

Константин Саматов, АРСИБ:

Нет, не потеряет. Следует учитывать, что, несмотря на большую пользу РБПО, полностью исключить наличие уязвимостей в исходном коде невозможно. Часть уязвимостей может появиться уже непосредственно в процессе эксплуатации информационного ресурса. Многие приложения используют сторонние компоненты, которые не всегда удается проанализировать разработчикам программного обеспечения. Ну и самое главное, управление уязвимостями не ограничивается только разработкой кода, оно также включает в себя оценку и защиту конфигураций и других сущностей.

Дмитрий Овчинников, Газинформсервис:

Продукты подобного класса никогда не потеряют своей актуальности. Человеку свойственно ошибаться, потому ошибки в ПО и ОС всегда были и будут. По мере того как сложность разрабатываемых программных продуктов растет, вероятность наличия в них уязвимостей тоже возрастает. Процесс налаживания безопасной разработки просто позволяет держать процент ошибок в допустимых пределах, но полностью не устраняет факторы их появления.

Николай Лишке, Эшелон Технологии:

Во-первых, не все организации – разработчики, не всем нужен AppSec и DevSecOps. Во-вторых, как может потерять актуальность один из компонентов с внедрением комплекса мероприятий, направленных на повышение защиты? VM является неотъемлемой частью, а возможно даже и базой для построения последующих мероприятий по обеспечению защищенной разработки.

Мы не можем говорить о процессе безопасной разработки до тех пор, пока у нас не обновлены первичные инструменты разработки: GitLab, Nexus, Kubernetes.

Сергей Уздемир, АЛТЭКС-СОФТ:

Нет, не потеряет, одно не исключает другого. Работает принцип "доверяй, но проверяй". Более того, внедрение процессов безопасной разработки в условиях все возрастающей сложности и количества заимствованного (встроенного) кода и ПО не всегда приводит к уменьшению количества уязвимостей и их критичности, а скорее, является критерием качества процессов реагирования разработчиком на выявляемые ошибки и уязвимости, например насколько быстро они устраняются в обновлениях безопасности.

Николай Степанов, F.A.C.C.T.:

Пока системы пишут люди, люди будут делать ошибки. VM – это защита от таких ошибок.
Темы:Круглый столЖурнал "Информационная безопасность" №1, 2024Управление уязвимостями (Vulnerability Management)

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Корпоративный CA в гибридной инфраструктуре: вызовы и  решения
    Корпоративная инфраструктура сейчас представляет собой сложный гибридный ландшафт, в котором пересекаются локальные сегменты, облачные ресурсы, иностранные и отечественные операционные системы. Кажется, что интеграция Certificate Aythority в такую неоднородную среду – это многочисленные препятствия: несовместимость, дефицит кадров с экспертизой в криптографии, сложность миграции, высокая нагрузка на инфраструктуру. Редакция журнала "Информационная безопасность" перепроверилась по этим вопросам у экспертов.
  • Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль устранения уязвимостей
    Андрей Селиванов, продукт-менеджер R-Vision VM
    Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.
  • Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре
    Андрей Никонов, главный аналитик, “Фродекс”
    Между моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно-технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении.
  • Бэклог невыполненных исправлений и рекомендации, как с ним бороться
    Одна из наиболее острых проблем – лавинообразный рост количества уязвимостей и скорость появления эксплойтов для них. Заказчики сталкиваются с постоянно растущим бэклогом невыполненных исправлений. Отдел ИБ должен выстраивать процессы так, чтобы не утонуть в этой волне. Редакция журнала "Информационная безопасность" поинтересовалась, какие рекомендации могут дать эксперты.
  • Цена ошибки: почему важно качественно детектировать уязвимости
    Александр Леонов, ведущий эксперт PT Expert Security Center, компания Positive Technologies
    Не сканер детектирует уязвимости в ИT-инфраструктуре организации с помощью специалиста, а специалист по управлению уязвимостями (VM-специалист) детектирует уязвимости с помощью сканера. Сканер – это просто инструмент. Выбор решения, достаточно хорошо выполняющего заявленные функции по детектированию уязвимостей, – одна из главных задач VM-специалиста и вышестоящего менеджмента. Если эксперт, который проводит анализ решений, отнесется к этой задаче с небрежностью, то запросто может попасть в неприятную ситуацию – пропустить критически опасную уязвимость в инфраструктуре, эксплуатация которой приведет к недопустимому для организации событию.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"