Редакция журнала "Информационная безопасность", 15/05/24
Cистемы класса Vulnerability Management (VM) постоянно развиваются. У них есть устоявшаяся, традиционная функциональность, но есть вызовы, на которые надо реагировать. По просьбе редакции журнала “Информационная безопасность” разработчики VM-решений поделились мнением о влиянии наиболее актуальных трендов на функциональность систем.
Эксперты:
- Александр Дорофеев, генеральный директор АО “Эшелон Технологии”
- Владимир Иванов, основатель “Сканфэктори”
- Николай Казанцев, CEO SECURITM
- Николай Лишке, директор центра кибербезопасности АО “Эшелон Технологии”
- Владимир Михайлов, руководитель департамента перспективных проектов, “Фродекс”
- Андрей Никонов, главный аналитик, “Фродекс”
- Павел Попов, лидер практики продуктов для управления уязвимостями, Positive Technologies
- Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности
- Андрей Селиванов, продукт-менеджер R-Vision VM
- Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management
- Дмитрий Овчинников, главный специалист отдела комплексных систем защиты информации, “Газинформсервис”
- Роман Овчинников, руководитель отдела исполнения Security Vision
- Сергей Уздемир, заместитель генерального директора “АЛТЭКС-СОФТ” по ИТ
Корректно ли считать, что Vulnerability Management дает лишь ограниченный взгляд на картину уязвимостей, но не показывает общую подверженность организации угрозам?
Александр Дорофеев, Эшелон Технологии:
Все зависит от того, как организация реализует оценку защищенности, являющуюся самой критичной операцией в управлении уязвимостями. Если оценка защищенности проводится на уровне сети, ОС, СУБД, WEB, прикладного ПО, а также в ходе оценки проверяется и навыки пользователей и аспекты физической безопасности, то тогда процесс Vulnerability Management позволит видеть общую картину подверженности организации угрозам информационной безопасности.
Николай Казанцев, SECURITM:
Корректно, ведь VM – это сканеры, а они видят только техническую часть вопроса. Уязвимости в широком смысле есть и в людях, и в процессах, и в архитектуре. VM – это лишь часть процесса управления рисками ИБ, хоть и очень важная. Часто техникоцентричные службы ИБ забывают об этом.
Владимир Михайлов, Фродекс:
VM дает картину уязвимостей, которые можно технически детектировать "здесь и сейчас" в инфраструктуре компании. При этом организация может быть подвержена нетехническим угрозам, которые VM определить не в состоянии (саботаж, внутренние учетки, архитектурные недостатки и пр.), но может подсветить слабые места инфраструктуры, устранение которых поможет минимизировать подверженность угрозам в целом.
Роман Овчинников, Security Vision:
И да, и нет. Как класс решения, Vulnerability Management показывает наличие "дыр" для реализации угрозы и позволяет организовать процесс их обработки. С другой стороны, данные решения не учитывают используемые СЗИ и другие контроли, которые влияют на возможность эксплуатации конкретной уязвимости. Для получения целостной картины нужен комплексный процесс, включающий получение информации из разных источников и реализацию процедур оценки рисков. Таким образом, сам по себе VM не позволяет показать целостную картину, но является неотъемлемой частью для ее создания.
Константин Саматов, АРСИБ:
Если процесс Vulnerability Management построен правильно, то это неверно, так как в рамках процесса управления уязвимостями должны происходить:
- Во-первых, оценка применимости выявленных уязвимостей, в рамках которой учитываются угрозы и возможности их реализации (в самом начале процесса управления уязвимостями).
- Во-вторых, применение компенсирующих мер для исключения возможности эксплуатации данной уязвимости при отсутствии возможности ее устранить (например, если отсутствуют соответствующие обновления программного обеспечения) – на завершающих стадиях процесса управления уязвимостями.
Андрей Селиванов, R-Vision:
Полнота общей картины защищенности организации зависит от степени покрытия ее инфраструктуры системами защиты. Одним из ключевых инструментов, позволяющих контролировать и минимизировать риски, связанные с ИБ, является Vulnerability Management. Цель VM – повышение общего уровня защищенности компании при помощи анализа и устранения конкретных уязвимостей. Однако для создания комплексной системы защиты информации необходимо использовать технологию VM в связке с остальными технологиями защиты информации, чтобы повысить уровень защищенности ИТ-инфраструктуры организации от потенциальных угроз.
Сергей Уздемир, АЛТЭКС-СОФТ:
В общем и в частности качество VM является "лакмусовой бумажкой" процессов, связанных с ИБ. В общем, потому что реализация VM находится в прямой зависимости от качества управления и взаимодействия всех служб организации, предполагает решение множества смежных задач. И частная оценка уязвимостей, как результат VM, может быть трансформирована в интегральную оценку защищенности актива или всей ИС от угроз безопасности информации, связанных с эксплуатацией уязвимостей. По динамике этого показателя можно в том числе оценивать успешность выполнения требований ИБ в целом.
Дмитрий Овчинников, Газинформсервис:
Современный продукт VM выдает полную и объемную информацию про наличие существующих уязвимостей в сканируемых устройствах. Однако он не учитывает уязвимости нулевого дня, ошибки в настройках и человеческий фактор. Он не защищает от методов социальной инженерии. Правильнее считать VM одним из инструментов. Необходимо оперативно обновлять устройства, закрывать уязвимости и правильно интерпретировать полученную информацию.
Павел Попов, Positive Technologies:
Полный взгляд на картину уязвимостей – не то же самое, что понимание общей картины подверженности организации угрозам. Существует множество различных классов решений по информационной безопасности: SIEM, NTA, NGFW, EDR, СЗИ от НСД, САВЗ и многие другие. Но даже установка этих средств не может дать полную картину защищенности. Недостаточно купить, установить и корректно настроить систему. Дальше дело за процессами и экспертами, принимающими в нем участие. Согласованность всех этапов между заинтересованными лицами, использование эффективных инструментов, устранение уязвимостей, соблюдение договоренностей на исправление и контроль устранения могут дать реальный результат.
Николай Степанов, F.A.C.C.T.:
Корректно. Защита инфраструктуры – комплексный процесс, где каждое решение выполняет свою функцию. VM прекрасно подходит для компаний, которые могут их поддерживать, постоянно актуализируя список активов на сканировании. Но стоит также обратить внимание на различные утечки корпоративных учетных записей, тренинги сотрудников, защиту почты и т.д. Самая уязвимая часть в безопасности – это не компьютер, это человек.
Корректно ли считать, что Vulnerability Management носит периодический и реактивный характер в условиях динамично изменяющейся корпоративной инфраструктуры?
Сергей Уздемир, АЛТЭКС-СОФТ:
VM это – непрерывный регламентированный цикл мероприятий, что не исключает немедленной экстраординарной реакции на особые обстоятельства. Они могут быть связаны как с защищаемыми активами (изменения в инфраструктуре, переход на новое ПО и оборудование), так и с переоценкой угроз (выявление новых уязвимостей или новых способов эксплуатации старых, трендовые уязвимости).
Павел Попов, Positive Technologies:
Абсолютно корректно! Сам процесс должен быть периодическим, так как уязвимости появляются каждый день, а ИТ-инфраструктура часто меняется. Существуют также трендовые уязвимости, которые выявляет система MaxPatrol VM. Информацию о них мы доставляем за 12 часов. Такие уязвимости злоумышленники уже используют в атаках или будут в ближайшее время, поэтому их нужно быстро устранять или принимать компенсирующие меры. Если их не обнаружить вовремя, то промедление может негативно сказаться на безопасности всей инфраструктуры.
Владимир Михайлов, Фродекс:
Сегодня это уже не так. Необходим непрерывный поиск и устранение уязвимостей с актуализацией при каждом изменении инфраструктуры, обновлении или изменении состава программного обеспечения и тем более при появлении информации о новых уязвимостях. Любой из этих триггеров должен автоматически запускать сканирование затронутого сегмента инфраструктуры, информировать ответственное лицо при обнаружении новых угроз, а в идеале – автоматически принимать меры для устранения.
Александр Дорофеев, Эшелон Технологии:
Все зависит от наличия специалистов и соответствующего инструментария. Применение современных VM-инструментов, например Сканер-ВС 6, позволяет узнавать о появлении новых уязвимостей на ежедневной основе, что в свою очередь, позволяет специалистам подразделений по информационной безопасности проактивно закрывать уязвимости и снижать риск подверженности атакам зловредов, использующих уязвимости.
Андрей Селиванов, R-Vision VM:
VM – циклический процесс сбора информации об активах и уязвимостях с последующей их приоритизацией и устранением. Цикличность процесса позволяет поддерживать модели активов в актуальном состоянии даже в условиях динамично изменяющейся корпоративной инфраструктуры.
Николай Степанов, F.A.C.C.T.:
В большей степени корректно. Если ваши администраторы не могут сказать точно, сколько доменов, поддоменов, IP-адресов они обслуживают, VM превращается из помощника во вредителя.
Сканируя только часть инфраструктуры, он дает ложное чувство безопасности, а люди по своей природе могут забывать обновлять список для сканирования. Актуализация и проверка списков на сканирование должна быть регулярной (раз в день или хотя бы раз в неделю), чтобы VM не терял свою эффективность.
Николай Казанцев, SECURITM:
Мы узнаем об уязвимостях, когда о них узнает наш сканер, и в этом смысле, конечно, VM – процесс реактивный. Но ведь и превентивные меры никто не отменял – сегментацию, WAF, SIEM, организационные процедуры тестирования новых систем и продуктов. Все это позволяет, не зная о наличии уязвимостей, снизить вероятность их эксплуатации или возможные негативные последствия. Подобные защитные меры выходят за рамки VM, но ведь и VM – это лишь часть общего процесса управления рисками ИБ, и рассматривать его нужно в комплексе со всеми другими защитными мерами.
Константин Саматов, АРСИБ:
Концептуально – это не так, процесс должен быть непрерывным. Однако на практике действительно в большинстве случаев выявление и устранение уязвимостей носит периодический характер, так как ресурсы ограниченны, а современные решения Vulnerability Management – это в основном сканеры уязвимостей, которые не могут автоматизировать все подпроцессы в управлении уязвимостями. В части реактивности и проактивности, по моим наблюдениям, все сугубо индивидуально, в каждой организации реализовано по-своему.
Дмитрий Овчинников, Газинформсервис:
Современные средства VM и автоматизация процессов позволяют проводить регулярные и частые сканирования, что позволяет получать актуальную информацию даже в условиях динамично изменяющейся корпоративной инфраструктуры. Надо помнить о том, что ИБ – это прежде всего непрерывный процесс, который надо поддерживать каждый день. Поэтому динамичные изменения не являются помехой для использования VM.
Роман Овчинников, Security Vision:
Периодический характер позволяет регулярно актуализировать информацию по всей инфраструктуре. Однако при использовании динамичной инфраструктуры необходимо дополнительно встраивать процедуры Vulnerability Management в DevOps-процессы компании. Такой подход позволит оперативно реагировать на возникающие угрозы, проявляющиеся при изменении ИТ-ландшафта.
Корректно ли считать, что в системах класса Vulnerability Management в большинстве случаев предполагается ручное вмешательство для исправления выявленных уязвимостей?
Сергей Уздемир, АЛТЭКС-СОФТ:
Результатом использования решений класса VM является установление приоритетов исправления уязвимостей, а также контроль их устранения или реализации компенсирующих мер, таких как более строгое конфигурирование или сокращение поверхности атаки. Устранение уязвимостей – это не всегда именно ручное вмешательство, однако его реализация, как правило, лежит в области применения других систем, SCM или Patch Management.
Роман Овчинников, Security Vision:
ИТ-инфраструктура компаний даже среднего уровня зачастую представлена тысячами устройств разного вида (АРМ пользователей, серверы, сетевое оборудование и СЗИ, СХД и т.д.). Обеспечить качественное и своевременное исправление уязвимостей на таких масштабах ручным способом невозможно. Для этих целей используются различные средства автоматизации. Например, можно использовать интеграцию с репозиториями, где хранятся проверенные пакеты обновлений, в связке с решениями классов AM/ITAM/CMDB, что позволит запускать процессы устранения уязвимостей автоматизированно.
Николай Лишке, Эшелон Технологии:
В большинстве случаев – да. Даже если уязвимость можно закрыть, просто обновив пакеты определенного ПО, обновление необходимо протестировать и только затем принимать решение об установке в продуктивной среде. В случае, если требуется внедрять компенсирующие меры, без ручного вмешательства ИБи ИТ-специалистов не обойтись.
Андрей Селиванов, R-Vision:
Корректно выстроенный процесс VM предполагает автоматизацию на большинстве этапов циклов процесса. Однако полностью исключить ручное вмешательство на практике не представляется возможным. Особенно на этапах устранения уязвимостей, которые часто требуют тестирования работоспособности систем после установки обновлений, и в процессе приоритизации некоторых особо критичных уязвимостей, требующих срочного устранения.
Николай Степанов, F.A.C.C.T.:
Верно. Каждый бизнес имеет свои ограничения. VM должен показывать риски, а человек – принимать решение по работе с этими рисками. Случаются ситуации, когда риск ошибки во время исправления проблемы больше, чем если оставить проблему нерешенной.
Константин Саматов, АРСИБ:
Исправление выявленных уязвимостей в основном действительно осуществляется в ручном режиме. Современные решения Vulnerability Management зачастую лишь выявляют уязвимости, а установка обновлений или разработка и применение компенсирующих мер для нейтрализации уязвимости происходит уже при участии человека.
Владимир Михайлов, Фродекс:
В зрелых VM-решениях присутствует функционал Patch Management и даже автоматизация этого процесса. В зависимости от степени принятия рисков организация сама решает, как этим функционалом пользоваться, в ручном или автоматическом режиме. При этом нужно помнить о важности предварительной проверки процесса обновлений критичных ресурсов. Отчасти это решается заведением в VM-систему активов-двойников, позволяющих оперативно протестировать процесс обновления на точной копии критичного ресурса.
Павел Попов, Positive Technologies:
Автоматизация, конечно, отличный подход, но давайте представим ситуацию: найдена критическая уязвимость ОС, на которой установлено бухгалтерское ПО. Проводится автопатчинг, после которого программа перестает работать, потому что бухгалтерское ПО не поддерживает новую версию ОС. И как часто бывает, бэкап делался полгода назад, а именно сегодня нужно проводить оплату. Кто будет виноват?
Решение об устранении уязвимости принимает ИБ, тестирует обновление – ИТ. Никто не отменял процесс проверки и установки обновлений в ИТ-департаменте. А в какие сроки это все будет происходить, закладывается во время формирования процесса VM. Поэтому в большинстве случаев VM-процесс не исключает ручное вмешательство.
Дмитрий Овчинников, Газинформсервис:
Совсем не обязательно, что устранение уязвимостей будет производиться в ручном режиме. Зачастую современные средства автоматизации позволяют массово управлять обновлениями. Однако это не исключает тех случаев, когда какие-либо устройства или системы надо будет обновлять вручную. Это может быть связано со специфическим настройками, сбоями или характером работы самой системы.
