Контакты
Подписка 2025
Статьи по информационной безопасности

Приоритизация – ключ к эффективному управлению уязвимостями организаций в условиях большого количества активов

Андрей Селиванов, 15/05/24

Приоритизация уязвимостей – один из ключевых этапов процесса управления уязвимостями. Построение системы защиты организации начинается с информации о ее активах.

Автор: Андрей Селиванов, продукт-менеджер R-Vision VM

По мере роста и масштабирования бизнеса увеличивается число активов, появляются новые системы и оборудование, а вместе с этим растет и количество уязвимостей. Чтобы определить, какие уязвимости необходимо устранить сейчас, какие можно отложить, а какие не требуют вмешательства, необходимо их приоритизировать.

Больше источников – больше информации об уязвимостях

Для полного представления обо всех возможных уязвимостях в защищаемой сети ИБ-специалистам необходимо собирать данные из наибольшего количества систем, установленных в инфраструктуре организации.

Агрегированные данные об активах и уязвимостях можно группировать и анализировать в едином интерфейсе VM-системы.

Для сбора информации об активах и уязвимостях в R-Vision VM предусмотрен функционал сетевого сканера, а также возможность интеграции со множеством внешних систем – сканерами уязвимостей и CMDBсистемами. Собранные активы классифицируются и распределяются по логическим группам согласно установленным правилам.

ИБ-специалисты при работе с уязвимостями могут оперировать группами ИТ-активов, их критичностью и расположением относительно защищаемого контура. Если встроенных интеграций недостаточно, то используется дополнительный функционал конструктора интеграций, при помощи которого можно настроить взаимодействие практически с любой системой.

Автоматическая приоритизация для оптимизации работы ИБ-специалиста

В крупных компаниях количество обнаруженных уязвимостей исчисляется сотнями тысяч. Поэтому вопрос их обработки и устранения встает все острее из-за ограниченных ресурсов ИБ- и ИТ-подразделений. Цель приоритизации – сократить трудозатраты специалистов ИБ путем фокусировки на самых критичных уязвимостях, так как устранить все уязвимости физически невозможно.

Поэтому ИБ-специалистам необходима первоначальная разметка и расстановка первичных приоритетов, исходя из которых они могут быстрее и качественнее оценить критичность и распространенность каждой уязвимости в своей в сети.

Ключевыми задачами при организации процесса управления уязвимостями являются оценка подразделением ИБ практической возможности использования уязвимости нарушителями и формирование задач на устранение не только на основании уровня критичности, но и факторов окружения, которые свойственны конкретной инфраструктуре.

Продукт R-Vision VM автоматически оценивает каждую уязвимость, чтобы определить бизнес-риски и приоритеты для исправления самых критичных уязвимостей. Для этого есть метрика определения уровня критичности уязвимости – рейтинг. Формула расчета рейтинга присваивает каждой уязвимости приоритет, который основывается не только на базовых характеристиках уязвимости, таких как CVSS и наличие эксплойта, но и на критичности актива (или группы ИТ-активов, в которую входит актив), на котором была обнаружена уязвимость. Рейтинг уязвимости не является статичным. Он показывает уровень критичности уязвимости в зависимости от ее параметров и связанных с ней активов: в каком она статусе, где в данный момент находится уязвимый актив, какие компенсирующие меры приняты. Какие-то изменения характеристик уязвимости и актива будут снижать рейтинг опасности уязвимости, а какие-то – повышать, что будет своевременно сигнализировать о важности рассмотрения уязвимости и принятия соответствующих мер.

R-Vision VM (темный фон)Рис. 1. R-Vision VM: схема работы

Для более удобного выстраивания процесса устранения уязвимостей в R-Vision VM встроена функция для распределения уязвимостей по уровням критичности. Уровни классифицируют уязвимости, которые в дальнейшем можно группировать для задач согласно принятым в организации SLA по их устранению.

В зависимости от рассчитанного рейтинга каждой уязвимости автоматически присваивается уровень критичности.

Такая дополнительная разметка позволяет классифицировать уязвимости, что облегчает анализ в построенных графиках и отчетах.

R-Vision VM_скринРис. 2. Дашборд

Эффективное устранение уязвимостей

Недостаточно только детектировать и приоритизировать уязвимости, необходимо их устранять. Для этого ИТ-специалисты должны обладать корректной информацией о потенциальной опасности каждой отдельной уязвимости. R-Vision VM автоматически реагирует на появившиеся или ставшие критичными уязвимости: создает задачи или инциденты на устранение, назначает ответственных и сроки исполнения. Кроме того, в системе можно настраивать взаимодействие с Service Desk-системой. R-Vision VM создает задачу в тикет-системе и поддерживает полную синхронизацию ее статусов, комментариев и изменений других полей, чтобы ИБ-аналитик смог оперативно отслеживать задачи.

В R-Vision VM можно гибко настроить карточку уязвимости. Эта функция позволяет использовать дополнительные пользовательские поля, чьи значения могут быть учтены при автоматической приоритизации и реагировании на уязвимости. Многим компаниям, в том числе являющимся субъектами КИИ, регулярно рассылаются бюллетени от регуляторов с перечнем наиболее критичных уязвимостей, требующих немедленного реагирования. После проведения анализа полученных бюллетеней ИБ-специалист может использовать гибкий REST API R-Vision VM, чтобы добавить в пользовательские поля карточки уязвимости признак обязательности устранения. Впоследствии система учтет эту информацию при расчете рейтинга уязвимости, а также при автоматическом создании задачи или инцидента на устранение. Таким образом, R-Vision VM создает задачу или инцидент сразу при выявлении наиболее критичной уязвимости, которая актуальна на данный момент времени, как только она появится в системе.

Для эффективного устранения уязвимостей VM-система должна предоставлять ИТ-специалистам достаточный контекст по ним, чтобы минимизировать усилия по поиску и установке исправлений.

Устранение уязвимостей – трудоемкий процесс, который требует знаний и навыков в совершенно разных предметных областях. Благодаря правильно настроенным механизмам автоматической обработки и реагирования R-Vision VM помогает не только упорядочить процесс управления уязвимостями, но и значительно снизить нагрузку ИБ-аналитиков, а механизм автоматического реагирования на поступающие возможные угрозы обеспечит более быструю реакцию и повышение уровня безопасности в защищаемом контуре организации.
Темы:R-VisionЖурнал "Информационная безопасность" №1, 2024Управление уязвимостями (Vulnerability Management)R-Vision VM

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (весна) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 3-4 июня →
Статьи по той же темеСтатьи по той же теме

  • Как мы автоматизировали процесс VM в крупном промышленном холдинге и обеспечили контроль устранения уязвимостей
    Андрей Селиванов, продукт-менеджер R-Vision VM
    Внедрение R-Vision VM помогло холдингу построить централизованный и автоматизированный процесс управления уязвимостями, повысить скорость и точность работы с уязвимостями, а также обеспечить полный контроль над их устранением.
  • Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре
    Андрей Никонов, главный аналитик, “Фродекс”
    Между моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно-технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении.
  • Бэклог невыполненных исправлений и рекомендации, как с ним бороться
    Одна из наиболее острых проблем – лавинообразный рост количества уязвимостей и скорость появления эксплойтов для них. Заказчики сталкиваются с постоянно растущим бэклогом невыполненных исправлений. Отдел ИБ должен выстраивать процессы так, чтобы не утонуть в этой волне. Редакция журнала "Информационная безопасность" поинтересовалась, какие рекомендации могут дать эксперты.
  • Цена ошибки: почему важно качественно детектировать уязвимости
    Александр Леонов, ведущий эксперт PT Expert Security Center, компания Positive Technologies
    Не сканер детектирует уязвимости в ИT-инфраструктуре организации с помощью специалиста, а специалист по управлению уязвимостями (VM-специалист) детектирует уязвимости с помощью сканера. Сканер – это просто инструмент. Выбор решения, достаточно хорошо выполняющего заявленные функции по детектированию уязвимостей, – одна из главных задач VM-специалиста и вышестоящего менеджмента. Если эксперт, который проводит анализ решений, отнесется к этой задаче с небрежностью, то запросто может попасть в неприятную ситуацию – пропустить критически опасную уязвимость в инфраструктуре, эксплуатация которой приведет к недопустимому для организации событию.
  • Готовы ли российские компании к созданию VOC-центров?
    В мире набирает популярность идея создания специализированных Vulnerability Operations Center (VOC) – центров операций по уязвимостям. VOC функционирует как штаб по оркестрации управления уязвимостями, объединяя процессы и инструменты, – он формализует задачи и ответственность (кто и что должен исправлять), и предоставляет платформу для централизации данных об уязвимостях со всех сканеров (инфраструктуры, приложений и пр.).
  • Рынок услуг управления уязвимостями в России: контроль поверхности атак
    Максим Ежов, руководитель отдела непрерывного мониторинга безопасности Angara Security
    Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций. Однако в условиях стремительно меняющегося киберландшафта, ухода зарубежных поставщиков и перехода на отечественные решения процесс управления уязвимостями в России приобретает ряд уникальных особенностей.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 3-4 июня →

More...
ТБ Форум 2025
4 июня | Форум ITSEC 2025 Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"