Контакты
Подписка 2024

Приоритизация – ключ к эффективному управлению уязвимостями организаций в условиях большого количества активов

Андрей Селиванов, 15/05/24

Приоритизация уязвимостей – один из ключевых этапов процесса управления уязвимостями. Построение системы защиты организации начинается с информации о ее активах.

Автор: Андрей Селиванов, продукт-менеджер R-Vision VM

По мере роста и масштабирования бизнеса увеличивается число активов, появляются новые системы и оборудование, а вместе с этим растет и количество уязвимостей. Чтобы определить, какие уязвимости необходимо устранить сейчас, какие можно отложить, а какие не требуют вмешательства, необходимо их приоритизировать.

Больше источников – больше информации об уязвимостях

Для полного представления обо всех возможных уязвимостях в защищаемой сети ИБ-специалистам необходимо собирать данные из наибольшего количества систем, установленных в инфраструктуре организации.

Агрегированные данные об активах и уязвимостях можно группировать и анализировать в едином интерфейсе VM-системы.

Для сбора информации об активах и уязвимостях в R-Vision VM предусмотрен функционал сетевого сканера, а также возможность интеграции со множеством внешних систем – сканерами уязвимостей и CMDBсистемами. Собранные активы классифицируются и распределяются по логическим группам согласно установленным правилам.

ИБ-специалисты при работе с уязвимостями могут оперировать группами ИТ-активов, их критичностью и расположением относительно защищаемого контура. Если встроенных интеграций недостаточно, то используется дополнительный функционал конструктора интеграций, при помощи которого можно настроить взаимодействие практически с любой системой.

Автоматическая приоритизация для оптимизации работы ИБ-специалиста

В крупных компаниях количество обнаруженных уязвимостей исчисляется сотнями тысяч. Поэтому вопрос их обработки и устранения встает все острее из-за ограниченных ресурсов ИБ- и ИТ-подразделений. Цель приоритизации – сократить трудозатраты специалистов ИБ путем фокусировки на самых критичных уязвимостях, так как устранить все уязвимости физически невозможно.

Поэтому ИБ-специалистам необходима первоначальная разметка и расстановка первичных приоритетов, исходя из которых они могут быстрее и качественнее оценить критичность и распространенность каждой уязвимости в своей в сети.

Ключевыми задачами при организации процесса управления уязвимостями являются оценка подразделением ИБ практической возможности использования уязвимости нарушителями и формирование задач на устранение не только на основании уровня критичности, но и факторов окружения, которые свойственны конкретной инфраструктуре.

Продукт R-Vision VM автоматически оценивает каждую уязвимость, чтобы определить бизнес-риски и приоритеты для исправления самых критичных уязвимостей. Для этого есть метрика определения уровня критичности уязвимости – рейтинг. Формула расчета рейтинга присваивает каждой уязвимости приоритет, который основывается не только на базовых характеристиках уязвимости, таких как CVSS и наличие эксплойта, но и на критичности актива (или группы ИТ-активов, в которую входит актив), на котором была обнаружена уязвимость. Рейтинг уязвимости не является статичным. Он показывает уровень критичности уязвимости в зависимости от ее параметров и связанных с ней активов: в каком она статусе, где в данный момент находится уязвимый актив, какие компенсирующие меры приняты. Какие-то изменения характеристик уязвимости и актива будут снижать рейтинг опасности уязвимости, а какие-то – повышать, что будет своевременно сигнализировать о важности рассмотрения уязвимости и принятия соответствующих мер.

R-Vision VM (темный фон)Рис. 1. R-Vision VM: схема работы

Для более удобного выстраивания процесса устранения уязвимостей в R-Vision VM встроена функция для распределения уязвимостей по уровням критичности. Уровни классифицируют уязвимости, которые в дальнейшем можно группировать для задач согласно принятым в организации SLA по их устранению.

В зависимости от рассчитанного рейтинга каждой уязвимости автоматически присваивается уровень критичности.

Такая дополнительная разметка позволяет классифицировать уязвимости, что облегчает анализ в построенных графиках и отчетах.

R-Vision VM_скринРис. 2. Дашборд

Эффективное устранение уязвимостей

Недостаточно только детектировать и приоритизировать уязвимости, необходимо их устранять. Для этого ИТ-специалисты должны обладать корректной информацией о потенциальной опасности каждой отдельной уязвимости. R-Vision VM автоматически реагирует на появившиеся или ставшие критичными уязвимости: создает задачи или инциденты на устранение, назначает ответственных и сроки исполнения. Кроме того, в системе можно настраивать взаимодействие с Service Desk-системой. R-Vision VM создает задачу в тикет-системе и поддерживает полную синхронизацию ее статусов, комментариев и изменений других полей, чтобы ИБ-аналитик смог оперативно отслеживать задачи.

В R-Vision VM можно гибко настроить карточку уязвимости. Эта функция позволяет использовать дополнительные пользовательские поля, чьи значения могут быть учтены при автоматической приоритизации и реагировании на уязвимости. Многим компаниям, в том числе являющимся субъектами КИИ, регулярно рассылаются бюллетени от регуляторов с перечнем наиболее критичных уязвимостей, требующих немедленного реагирования. После проведения анализа полученных бюллетеней ИБ-специалист может использовать гибкий REST API R-Vision VM, чтобы добавить в пользовательские поля карточки уязвимости признак обязательности устранения. Впоследствии система учтет эту информацию при расчете рейтинга уязвимости, а также при автоматическом создании задачи или инцидента на устранение. Таким образом, R-Vision VM создает задачу или инцидент сразу при выявлении наиболее критичной уязвимости, которая актуальна на данный момент времени, как только она появится в системе.

Для эффективного устранения уязвимостей VM-система должна предоставлять ИТ-специалистам достаточный контекст по ним, чтобы минимизировать усилия по поиску и установке исправлений.

Устранение уязвимостей – трудоемкий процесс, который требует знаний и навыков в совершенно разных предметных областях. Благодаря правильно настроенным механизмам автоматической обработки и реагирования R-Vision VM помогает не только упорядочить процесс управления уязвимостями, но и значительно снизить нагрузку ИБ-аналитиков, а механизм автоматического реагирования на поступающие возможные угрозы обеспечит более быструю реакцию и повышение уровня безопасности в защищаемом контуре организации.

Темы:R-VisionЖурнал "Информационная безопасность" №1, 2024Управление уязвимостями (Vulnerability Management)R-Vision VM

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...