Контакты
Подписка 2025
Статьи по информационной безопасности

Приоритизация – ключ к эффективному управлению уязвимостями организаций в условиях большого количества активов

Андрей Селиванов, 15/05/24

Приоритизация уязвимостей – один из ключевых этапов процесса управления уязвимостями. Построение системы защиты организации начинается с информации о ее активах.

Автор: Андрей Селиванов, продукт-менеджер R-Vision VM

По мере роста и масштабирования бизнеса увеличивается число активов, появляются новые системы и оборудование, а вместе с этим растет и количество уязвимостей. Чтобы определить, какие уязвимости необходимо устранить сейчас, какие можно отложить, а какие не требуют вмешательства, необходимо их приоритизировать.

Больше источников – больше информации об уязвимостях

Для полного представления обо всех возможных уязвимостях в защищаемой сети ИБ-специалистам необходимо собирать данные из наибольшего количества систем, установленных в инфраструктуре организации.

Агрегированные данные об активах и уязвимостях можно группировать и анализировать в едином интерфейсе VM-системы.

Для сбора информации об активах и уязвимостях в R-Vision VM предусмотрен функционал сетевого сканера, а также возможность интеграции со множеством внешних систем – сканерами уязвимостей и CMDBсистемами. Собранные активы классифицируются и распределяются по логическим группам согласно установленным правилам.

ИБ-специалисты при работе с уязвимостями могут оперировать группами ИТ-активов, их критичностью и расположением относительно защищаемого контура. Если встроенных интеграций недостаточно, то используется дополнительный функционал конструктора интеграций, при помощи которого можно настроить взаимодействие практически с любой системой.

Автоматическая приоритизация для оптимизации работы ИБ-специалиста

В крупных компаниях количество обнаруженных уязвимостей исчисляется сотнями тысяч. Поэтому вопрос их обработки и устранения встает все острее из-за ограниченных ресурсов ИБ- и ИТ-подразделений. Цель приоритизации – сократить трудозатраты специалистов ИБ путем фокусировки на самых критичных уязвимостях, так как устранить все уязвимости физически невозможно.

Поэтому ИБ-специалистам необходима первоначальная разметка и расстановка первичных приоритетов, исходя из которых они могут быстрее и качественнее оценить критичность и распространенность каждой уязвимости в своей в сети.

Ключевыми задачами при организации процесса управления уязвимостями являются оценка подразделением ИБ практической возможности использования уязвимости нарушителями и формирование задач на устранение не только на основании уровня критичности, но и факторов окружения, которые свойственны конкретной инфраструктуре.

Продукт R-Vision VM автоматически оценивает каждую уязвимость, чтобы определить бизнес-риски и приоритеты для исправления самых критичных уязвимостей. Для этого есть метрика определения уровня критичности уязвимости – рейтинг. Формула расчета рейтинга присваивает каждой уязвимости приоритет, который основывается не только на базовых характеристиках уязвимости, таких как CVSS и наличие эксплойта, но и на критичности актива (или группы ИТ-активов, в которую входит актив), на котором была обнаружена уязвимость. Рейтинг уязвимости не является статичным. Он показывает уровень критичности уязвимости в зависимости от ее параметров и связанных с ней активов: в каком она статусе, где в данный момент находится уязвимый актив, какие компенсирующие меры приняты. Какие-то изменения характеристик уязвимости и актива будут снижать рейтинг опасности уязвимости, а какие-то – повышать, что будет своевременно сигнализировать о важности рассмотрения уязвимости и принятия соответствующих мер.

R-Vision VM (темный фон)Рис. 1. R-Vision VM: схема работы

Для более удобного выстраивания процесса устранения уязвимостей в R-Vision VM встроена функция для распределения уязвимостей по уровням критичности. Уровни классифицируют уязвимости, которые в дальнейшем можно группировать для задач согласно принятым в организации SLA по их устранению.

В зависимости от рассчитанного рейтинга каждой уязвимости автоматически присваивается уровень критичности.

Такая дополнительная разметка позволяет классифицировать уязвимости, что облегчает анализ в построенных графиках и отчетах.

R-Vision VM_скринРис. 2. Дашборд

Эффективное устранение уязвимостей

Недостаточно только детектировать и приоритизировать уязвимости, необходимо их устранять. Для этого ИТ-специалисты должны обладать корректной информацией о потенциальной опасности каждой отдельной уязвимости. R-Vision VM автоматически реагирует на появившиеся или ставшие критичными уязвимости: создает задачи или инциденты на устранение, назначает ответственных и сроки исполнения. Кроме того, в системе можно настраивать взаимодействие с Service Desk-системой. R-Vision VM создает задачу в тикет-системе и поддерживает полную синхронизацию ее статусов, комментариев и изменений других полей, чтобы ИБ-аналитик смог оперативно отслеживать задачи.

В R-Vision VM можно гибко настроить карточку уязвимости. Эта функция позволяет использовать дополнительные пользовательские поля, чьи значения могут быть учтены при автоматической приоритизации и реагировании на уязвимости. Многим компаниям, в том числе являющимся субъектами КИИ, регулярно рассылаются бюллетени от регуляторов с перечнем наиболее критичных уязвимостей, требующих немедленного реагирования. После проведения анализа полученных бюллетеней ИБ-специалист может использовать гибкий REST API R-Vision VM, чтобы добавить в пользовательские поля карточки уязвимости признак обязательности устранения. Впоследствии система учтет эту информацию при расчете рейтинга уязвимости, а также при автоматическом создании задачи или инцидента на устранение. Таким образом, R-Vision VM создает задачу или инцидент сразу при выявлении наиболее критичной уязвимости, которая актуальна на данный момент времени, как только она появится в системе.

Для эффективного устранения уязвимостей VM-система должна предоставлять ИТ-специалистам достаточный контекст по ним, чтобы минимизировать усилия по поиску и установке исправлений.

Устранение уязвимостей – трудоемкий процесс, который требует знаний и навыков в совершенно разных предметных областях. Благодаря правильно настроенным механизмам автоматической обработки и реагирования R-Vision VM помогает не только упорядочить процесс управления уязвимостями, но и значительно снизить нагрузку ИБ-аналитиков, а механизм автоматического реагирования на поступающие возможные угрозы обеспечит более быструю реакцию и повышение уровня безопасности в защищаемом контуре организации.
Темы:R-VisionЖурнал "Информационная безопасность" №1, 2024Управление уязвимостями (Vulnerability Management)R-Vision VM

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Опыт ГК "Черноголовка": управление уязвимостями и автоматизация ИБ-процессов
    Яков Гродзенский, руководитель по информационной безопасности, ГК “Черноголовка"
    Рост числа кибератак, дефицит кадров, ужесточение регуляторных требований подталкивает компании к пересмотру подходов к защите данных и инфраструктуры. Яков Гродзенский, руководитель по информационной безопасности ГК “Черноголовка” рассказал о ключевых изменениях в сфере кибербезопасности, актуальных угрозах для пищевой промышленности и эффективных способах защиты от них.
  • Идеальный портфель сканеров: универсальность, специализация или баланс?
    Корпоративная ИТ-среда усложняется: в дополнение к традиционным системам пришли облака, контейнеры, IoT-устройства, АСУ ТП. Расширение периметра создает новые слепые зоны. Например, производственный сегмент сети часто содержит устаревшие системы, которые физически не вынесут бесконтрольного сканирования, но при этом невыявленные уязвимости в них несут критические риски. Есть те, кто пересматривает портфель сканеров и оставляет пару универсальных решений, другие же используют несколько узкоспециализированных. 
  • Сканер-ВС 7 Enterprise: анализ безопасности конфигурации никогда не был таким простым
    Александр Дорофеев, CISSP, CISA, CISM, АО “Эшелон Технологии”
    В новой версии Сканер-ВС 7 реализована функция углубленного анализа конфигураций и гибкого управления шаблонами аудита. Выпуск превью-версии состоялся в первой половине апреля 2025 г.
  • Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль устранения уязвимостей
    Андрей Селиванов, продукт-менеджер R-Vision VM
    Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.
  • Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре
    Андрей Никонов, главный аналитик, “Фродекс”
    Между моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно-технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении.
  • Бэклог невыполненных исправлений и рекомендации, как с ним бороться
    Одна из наиболее острых проблем – лавинообразный рост количества уязвимостей и скорость появления эксплойтов для них. Заказчики сталкиваются с постоянно растущим бэклогом невыполненных исправлений. Отдел ИБ должен выстраивать процессы так, чтобы не утонуть в этой волне. Редакция журнала "Информационная безопасность" поинтересовалась, какие рекомендации могут дать эксперты.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности