Контакты
Подписка 2024

Потеряет ли актуальность Vulnerability Management с повсеместным внедрением процессов безопасной разработки?

Редакция журнала "Информационная безопасность", 10/06/24

Традиционные методы управления уязвимостями (Vulnerability Management) долгое время были основой защиты ИТ-инфраструктуры, позволяя своевременно выявлять и устранять слабые места в системах. Однако с распространением процессов безопасной разработки (РБПО) встает вопрос: не потеряет ли актуальность управление уязвимостями? Редакция журнала "Информационная безопасность" поинтересовалась мнением экспертов.

ris3

Эксперты:

  • Николай КазанцевCEO SECURITM
  • Николай Лишкедиректор центра кибербезопасности АО “Эшелон Технологии”
  • Андрей Никоновглавный аналитик, “Фродекс”
  • Павел Поповлидер практики продуктов для управления уязвимостями, Positive Technologies
  • Константин Саматовчлен Правления Ассоциации руководителей служб информационной безопасности
  • Андрей Селивановпродукт-менеджер R-Vision VM
  • Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
  • Дмитрий Овчинниковглавный специалист отдела комплексных систем защиты информации, “Газинформсервис”
  • Роман Овчинниковруководитель отдела исполнения Security Vision
  • Сергей Уздемирзаместитель генерального директора “АЛТЭКС-СОФТ” по ИТ

Андрей Никонов, Фродекс:

Принципы безопасной разработки основываются на опыте инцидентов с уязвимостями в приложениях. То есть всегда сначала находились и эксплуатировались уязвимости, а затем разработка менялась так, чтобы избегать их появления как можно раньше (shift left). И вряд ли это изменится в будущем – VM всегда будет подсказывать, как создавать более безопасное ПО. Кроме того, есть угрозы, которые не зависят от разработчиков, например ошибки конфигурирования систем и приложений.

Роман Овчинников, Security Vision:

Современные процессы безопасной разработки надежно связаны с устранением уязвимостей и не исключают друг друга. За счет гибкой интеграции ИТ-решений и процессов ИБ можно достигнуть настоящей эффективности и создать экосистему, в которой решения будут дополнять друг друга. Поэтому актуальность применения VM не только не теряется, но глубже встраивается в DevSecOps.

Павел Попов, Positive Technologies:

Нет, так как безопасная разработка не может полностью закрыть появление новых уязвимостей в продуктах. Если была найдена новая уязвимость, а клиент не обновился на последнюю версию ПО, то необходима система, которая покажет эти уязвимости в конкретной версии продуктов. Кроме того, если относить конфигурационное несоответствие к процессу Vulnerability Management, то проверка по compliance control не закрывается безопасной разработкой.

Андрей Селиванов, R-Vision:

Безопасная разработка (DevSecOps) направлена на устранение уязвимостей еще на этапе разработки ПО, однако она не является гарантом обеспечения полноценной защиты. Злоумышленники непрерывно ищут новые уязвимости в популярном и широко распространенном ПО. Поэтому необходимо обеспечивать дополнительную защиту при помощи VM-систем, которые служат для обнаружения и устранения уязвимостей, помогая службам ИБ и ИТ снизить риски по их эксплуатации до минимума. Таким образом, наряду с DevSecOps внедренный процесс VM усиливает защиту от вероятных атак, которые могут повлечь за собой потери для бизнеса.

Константин Саматов, АРСИБ:

Нет, не потеряет. Следует учитывать, что, несмотря на большую пользу РБПО, полностью исключить наличие уязвимостей в исходном коде невозможно. Часть уязвимостей может появиться уже непосредственно в процессе эксплуатации информационного ресурса. Многие приложения используют сторонние компоненты, которые не всегда удается проанализировать разработчикам программного обеспечения. Ну и самое главное, управление уязвимостями не ограничивается только разработкой кода, оно также включает в себя оценку и защиту конфигураций и других сущностей.

Дмитрий Овчинников, Газинформсервис:

Продукты подобного класса никогда не потеряют своей актуальности. Человеку свойственно ошибаться, потому ошибки в ПО и ОС всегда были и будут. По мере того как сложность разрабатываемых программных продуктов растет, вероятность наличия в них уязвимостей тоже возрастает. Процесс налаживания безопасной разработки просто позволяет держать процент ошибок в допустимых пределах, но полностью не устраняет факторы их появления.

Николай Лишке, Эшелон Технологии:

Во-первых, не все организации – разработчики, не всем нужен AppSec и DevSecOps. Во-вторых, как может потерять актуальность один из компонентов с внедрением комплекса мероприятий, направленных на повышение защиты? VM является неотъемлемой частью, а возможно даже и базой для построения последующих мероприятий по обеспечению защищенной разработки.

Мы не можем говорить о процессе безопасной разработки до тех пор, пока у нас не обновлены первичные инструменты разработки: GitLab, Nexus, Kubernetes.

Сергей Уздемир, АЛТЭКС-СОФТ:

Нет, не потеряет, одно не исключает другого. Работает принцип "доверяй, но проверяй". Более того, внедрение процессов безопасной разработки в условиях все возрастающей сложности и количества заимствованного (встроенного) кода и ПО не всегда приводит к уменьшению количества уязвимостей и их критичности, а скорее, является критерием качества процессов реагирования разработчиком на выявляемые ошибки и уязвимости, например насколько быстро они устраняются в обновлениях безопасности.

Николай Степанов, F.A.C.C.T.:

Пока системы пишут люди, люди будут делать ошибки. VM – это защита от таких ошибок.

Темы:Круглый столЖурнал "Информационная безопасность" №1, 2024Управление уязвимостями (Vulnerability Management)

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...