Приоритизация – ключ к эффективному управлению уязвимостями организаций в условиях большого количества активов
Андрей Селиванов, 15/05/24
Приоритизация уязвимостей – один из ключевых этапов процесса управления уязвимостями. Построение системы защиты организации начинается с информации о ее активах.
Автор: Андрей Селиванов, продукт-менеджер R-Vision VM
По мере роста и масштабирования бизнеса увеличивается число активов, появляются новые системы и оборудование, а вместе с этим растет и количество уязвимостей. Чтобы определить, какие уязвимости необходимо устранить сейчас, какие можно отложить, а какие не требуют вмешательства, необходимо их приоритизировать.
Больше источников – больше информации об уязвимостях
Для полного представления обо всех возможных уязвимостях в защищаемой сети ИБ-специалистам необходимо собирать данные из наибольшего количества систем, установленных в инфраструктуре организации.
Агрегированные данные об активах и уязвимостях можно группировать и анализировать в едином интерфейсе VM-системы.
Для сбора информации об активах и уязвимостях в R-Vision VM предусмотрен функционал сетевого сканера, а также возможность интеграции со множеством внешних систем – сканерами уязвимостей и CMDBсистемами. Собранные активы классифицируются и распределяются по логическим группам согласно установленным правилам.
ИБ-специалисты при работе с уязвимостями могут оперировать группами ИТ-активов, их критичностью и расположением относительно защищаемого контура. Если встроенных интеграций недостаточно, то используется дополнительный функционал конструктора интеграций, при помощи которого можно настроить взаимодействие практически с любой системой.
Автоматическая приоритизация для оптимизации работы ИБ-специалиста
В крупных компаниях количество обнаруженных уязвимостей исчисляется сотнями тысяч. Поэтому вопрос их обработки и устранения встает все острее из-за ограниченных ресурсов ИБ- и ИТ-подразделений. Цель приоритизации – сократить трудозатраты специалистов ИБ путем фокусировки на самых критичных уязвимостях, так как устранить все уязвимости физически невозможно.
Поэтому ИБ-специалистам необходима первоначальная разметка и расстановка первичных приоритетов, исходя из которых они могут быстрее и качественнее оценить критичность и распространенность каждой уязвимости в своей в сети.
Ключевыми задачами при организации процесса управления уязвимостями являются оценка подразделением ИБ практической возможности использования уязвимости нарушителями и формирование задач на устранение не только на основании уровня критичности, но и факторов окружения, которые свойственны конкретной инфраструктуре.
Продукт R-Vision VM автоматически оценивает каждую уязвимость, чтобы определить бизнес-риски и приоритеты для исправления самых критичных уязвимостей. Для этого есть метрика определения уровня критичности уязвимости – рейтинг. Формула расчета рейтинга присваивает каждой уязвимости приоритет, который основывается не только на базовых характеристиках уязвимости, таких как CVSS и наличие эксплойта, но и на критичности актива (или группы ИТ-активов, в которую входит актив), на котором была обнаружена уязвимость. Рейтинг уязвимости не является статичным. Он показывает уровень критичности уязвимости в зависимости от ее параметров и связанных с ней активов: в каком она статусе, где в данный момент находится уязвимый актив, какие компенсирующие меры приняты. Какие-то изменения характеристик уязвимости и актива будут снижать рейтинг опасности уязвимости, а какие-то – повышать, что будет своевременно сигнализировать о важности рассмотрения уязвимости и принятия соответствующих мер.
Рис. 1. R-Vision VM: схема работы
Для более удобного выстраивания процесса устранения уязвимостей в R-Vision VM встроена функция для распределения уязвимостей по уровням критичности. Уровни классифицируют уязвимости, которые в дальнейшем можно группировать для задач согласно принятым в организации SLA по их устранению.
В зависимости от рассчитанного рейтинга каждой уязвимости автоматически присваивается уровень критичности.
Такая дополнительная разметка позволяет классифицировать уязвимости, что облегчает анализ в построенных графиках и отчетах.
Эффективное устранение уязвимостей
Недостаточно только детектировать и приоритизировать уязвимости, необходимо их устранять. Для этого ИТ-специалисты должны обладать корректной информацией о потенциальной опасности каждой отдельной уязвимости. R-Vision VM автоматически реагирует на появившиеся или ставшие критичными уязвимости: создает задачи или инциденты на устранение, назначает ответственных и сроки исполнения. Кроме того, в системе можно настраивать взаимодействие с Service Desk-системой. R-Vision VM создает задачу в тикет-системе и поддерживает полную синхронизацию ее статусов, комментариев и изменений других полей, чтобы ИБ-аналитик смог оперативно отслеживать задачи.
В R-Vision VM можно гибко настроить карточку уязвимости. Эта функция позволяет использовать дополнительные пользовательские поля, чьи значения могут быть учтены при автоматической приоритизации и реагировании на уязвимости. Многим компаниям, в том числе являющимся субъектами КИИ, регулярно рассылаются бюллетени от регуляторов с перечнем наиболее критичных уязвимостей, требующих немедленного реагирования. После проведения анализа полученных бюллетеней ИБ-специалист может использовать гибкий REST API R-Vision VM, чтобы добавить в пользовательские поля карточки уязвимости признак обязательности устранения. Впоследствии система учтет эту информацию при расчете рейтинга уязвимости, а также при автоматическом создании задачи или инцидента на устранение. Таким образом, R-Vision VM создает задачу или инцидент сразу при выявлении наиболее критичной уязвимости, которая актуальна на данный момент времени, как только она появится в системе.
Для эффективного устранения уязвимостей VM-система должна предоставлять ИТ-специалистам достаточный контекст по ним, чтобы минимизировать усилия по поиску и установке исправлений.
Устранение уязвимостей – трудоемкий процесс, который требует знаний и навыков в совершенно разных предметных областях. Благодаря правильно настроенным механизмам автоматической обработки и реагирования R-Vision VM помогает не только упорядочить процесс управления уязвимостями, но и значительно снизить нагрузку ИБ-аналитиков, а механизм автоматического реагирования на поступающие возможные угрозы обеспечит более быструю реакцию и повышение уровня безопасности в защищаемом контуре организации.