Все зависит от того, как организация реализует оценку защищенности, являющуюся самой критичной операцией в управлении уязвимостями. Если оценка защищенности проводится на уровне сети, ОС, СУБД, WEB, прикладного ПО, а также в ходе оценки проверяется и навыки пользователей и аспекты физической безопасности, то тогда процесс Vulnerability Management позволит видеть общую картину подверженности организации угрозам информационной безопасности.
Корректно, ведь VM – это сканеры, а они видят только техническую часть вопроса. Уязвимости в широком смысле есть и в людях, и в процессах, и в архитектуре. VM – это лишь часть процесса управления рисками ИБ, хоть и очень важная. Часто техникоцентричные службы ИБ забывают об этом.
VM дает картину уязвимостей, которые можно технически детектировать "здесь и сейчас" в инфраструктуре компании. При этом организация может быть подвержена нетехническим угрозам, которые VM определить не в состоянии (саботаж, внутренние учетки, архитектурные недостатки и пр.), но может подсветить слабые места инфраструктуры, устранение которых поможет минимизировать подверженность угрозам в целом.
И да, и нет. Как класс решения, Vulnerability Management показывает наличие "дыр" для реализации угрозы и позволяет организовать процесс их обработки. С другой стороны, данные решения не учитывают используемые СЗИ и другие контроли, которые влияют на возможность эксплуатации конкретной уязвимости. Для получения целостной картины нужен комплексный процесс, включающий получение информации из разных источников и реализацию процедур оценки рисков. Таким образом, сам по себе VM не позволяет показать целостную картину, но является неотъемлемой частью для ее создания.
Если процесс Vulnerability Management построен правильно, то это неверно, так как в рамках процесса управления уязвимостями должны происходить:
Полнота общей картины защищенности организации зависит от степени покрытия ее инфраструктуры системами защиты. Одним из ключевых инструментов, позволяющих контролировать и минимизировать риски, связанные с ИБ, является Vulnerability Management. Цель VM – повышение общего уровня защищенности компании при помощи анализа и устранения конкретных уязвимостей. Однако для создания комплексной системы защиты информации необходимо использовать технологию VM в связке с остальными технологиями защиты информации, чтобы повысить уровень защищенности ИТ-инфраструктуры организации от потенциальных угроз.
В общем и в частности качество VM является "лакмусовой бумажкой" процессов, связанных с ИБ. В общем, потому что реализация VM находится в прямой зависимости от качества управления и взаимодействия всех служб организации, предполагает решение множества смежных задач. И частная оценка уязвимостей, как результат VM, может быть трансформирована в интегральную оценку защищенности актива или всей ИС от угроз безопасности информации, связанных с эксплуатацией уязвимостей. По динамике этого показателя можно в том числе оценивать успешность выполнения требований ИБ в целом.
Современный продукт VM выдает полную и объемную информацию про наличие существующих уязвимостей в сканируемых устройствах. Однако он не учитывает уязвимости нулевого дня, ошибки в настройках и человеческий фактор. Он не защищает от методов социальной инженерии. Правильнее считать VM одним из инструментов. Необходимо оперативно обновлять устройства, закрывать уязвимости и правильно интерпретировать полученную информацию.
Полный взгляд на картину уязвимостей – не то же самое, что понимание общей картины подверженности организации угрозам. Существует множество различных классов решений по информационной безопасности: SIEM, NTA, NGFW, EDR, СЗИ от НСД, САВЗ и многие другие. Но даже установка этих средств не может дать полную картину защищенности. Недостаточно купить, установить и корректно настроить систему. Дальше дело за процессами и экспертами, принимающими в нем участие. Согласованность всех этапов между заинтересованными лицами, использование эффективных инструментов, устранение уязвимостей, соблюдение договоренностей на исправление и контроль устранения могут дать реальный результат.
Корректно. Защита инфраструктуры – комплексный процесс, где каждое решение выполняет свою функцию. VM прекрасно подходит для компаний, которые могут их поддерживать, постоянно актуализируя список активов на сканировании. Но стоит также обратить внимание на различные утечки корпоративных учетных записей, тренинги сотрудников, защиту почты и т.д. Самая уязвимая часть в безопасности – это не компьютер, это человек.
VM это – непрерывный регламентированный цикл мероприятий, что не исключает немедленной экстраординарной реакции на особые обстоятельства. Они могут быть связаны как с защищаемыми активами (изменения в инфраструктуре, переход на новое ПО и оборудование), так и с переоценкой угроз (выявление новых уязвимостей или новых способов эксплуатации старых, трендовые уязвимости).
Абсолютно корректно! Сам процесс должен быть периодическим, так как уязвимости появляются каждый день, а ИТ-инфраструктура часто меняется. Существуют также трендовые уязвимости, которые выявляет система MaxPatrol VM. Информацию о них мы доставляем за 12 часов. Такие уязвимости злоумышленники уже используют в атаках или будут в ближайшее время, поэтому их нужно быстро устранять или принимать компенсирующие меры. Если их не обнаружить вовремя, то промедление может негативно сказаться на безопасности всей инфраструктуры.
Сегодня это уже не так. Необходим непрерывный поиск и устранение уязвимостей с актуализацией при каждом изменении инфраструктуры, обновлении или изменении состава программного обеспечения и тем более при появлении информации о новых уязвимостях. Любой из этих триггеров должен автоматически запускать сканирование затронутого сегмента инфраструктуры, информировать ответственное лицо при обнаружении новых угроз, а в идеале – автоматически принимать меры для устранения.
Все зависит от наличия специалистов и соответствующего инструментария. Применение современных VM-инструментов, например Сканер-ВС 6, позволяет узнавать о появлении новых уязвимостей на ежедневной основе, что в свою очередь, позволяет специалистам подразделений по информационной безопасности проактивно закрывать уязвимости и снижать риск подверженности атакам зловредов, использующих уязвимости.
VM – циклический процесс сбора информации об активах и уязвимостях с последующей их приоритизацией и устранением. Цикличность процесса позволяет поддерживать модели активов в актуальном состоянии даже в условиях динамично изменяющейся корпоративной инфраструктуры.
В большей степени корректно. Если ваши администраторы не могут сказать точно, сколько доменов, поддоменов, IP-адресов они обслуживают, VM превращается из помощника во вредителя.
Сканируя только часть инфраструктуры, он дает ложное чувство безопасности, а люди по своей природе могут забывать обновлять список для сканирования. Актуализация и проверка списков на сканирование должна быть регулярной (раз в день или хотя бы раз в неделю), чтобы VM не терял свою эффективность.
Мы узнаем об уязвимостях, когда о них узнает наш сканер, и в этом смысле, конечно, VM – процесс реактивный. Но ведь и превентивные меры никто не отменял – сегментацию, WAF, SIEM, организационные процедуры тестирования новых систем и продуктов. Все это позволяет, не зная о наличии уязвимостей, снизить вероятность их эксплуатации или возможные негативные последствия. Подобные защитные меры выходят за рамки VM, но ведь и VM – это лишь часть общего процесса управления рисками ИБ, и рассматривать его нужно в комплексе со всеми другими защитными мерами.
Концептуально – это не так, процесс должен быть непрерывным. Однако на практике действительно в большинстве случаев выявление и устранение уязвимостей носит периодический характер, так как ресурсы ограниченны, а современные решения Vulnerability Management – это в основном сканеры уязвимостей, которые не могут автоматизировать все подпроцессы в управлении уязвимостями. В части реактивности и проактивности, по моим наблюдениям, все сугубо индивидуально, в каждой организации реализовано по-своему.
Современные средства VM и автоматизация процессов позволяют проводить регулярные и частые сканирования, что позволяет получать актуальную информацию даже в условиях динамично изменяющейся корпоративной инфраструктуры. Надо помнить о том, что ИБ – это прежде всего непрерывный процесс, который надо поддерживать каждый день. Поэтому динамичные изменения не являются помехой для использования VM.
Периодический характер позволяет регулярно актуализировать информацию по всей инфраструктуре. Однако при использовании динамичной инфраструктуры необходимо дополнительно встраивать процедуры Vulnerability Management в DevOps-процессы компании. Такой подход позволит оперативно реагировать на возникающие угрозы, проявляющиеся при изменении ИТ-ландшафта.
Результатом использования решений класса VM является установление приоритетов исправления уязвимостей, а также контроль их устранения или реализации компенсирующих мер, таких как более строгое конфигурирование или сокращение поверхности атаки. Устранение уязвимостей – это не всегда именно ручное вмешательство, однако его реализация, как правило, лежит в области применения других систем, SCM или Patch Management.
ИТ-инфраструктура компаний даже среднего уровня зачастую представлена тысячами устройств разного вида (АРМ пользователей, серверы, сетевое оборудование и СЗИ, СХД и т.д.). Обеспечить качественное и своевременное исправление уязвимостей на таких масштабах ручным способом невозможно. Для этих целей используются различные средства автоматизации. Например, можно использовать интеграцию с репозиториями, где хранятся проверенные пакеты обновлений, в связке с решениями классов AM/ITAM/CMDB, что позволит запускать процессы устранения уязвимостей автоматизированно.
В большинстве случаев – да. Даже если уязвимость можно закрыть, просто обновив пакеты определенного ПО, обновление необходимо протестировать и только затем принимать решение об установке в продуктивной среде. В случае, если требуется внедрять компенсирующие меры, без ручного вмешательства ИБи ИТ-специалистов не обойтись.
Корректно выстроенный процесс VM предполагает автоматизацию на большинстве этапов циклов процесса. Однако полностью исключить ручное вмешательство на практике не представляется возможным. Особенно на этапах устранения уязвимостей, которые часто требуют тестирования работоспособности систем после установки обновлений, и в процессе приоритизации некоторых особо критичных уязвимостей, требующих срочного устранения.
Верно. Каждый бизнес имеет свои ограничения. VM должен показывать риски, а человек – принимать решение по работе с этими рисками. Случаются ситуации, когда риск ошибки во время исправления проблемы больше, чем если оставить проблему нерешенной.
Исправление выявленных уязвимостей в основном действительно осуществляется в ручном режиме. Современные решения Vulnerability Management зачастую лишь выявляют уязвимости, а установка обновлений или разработка и применение компенсирующих мер для нейтрализации уязвимости происходит уже при участии человека.
В зрелых VM-решениях присутствует функционал Patch Management и даже автоматизация этого процесса. В зависимости от степени принятия рисков организация сама решает, как этим функционалом пользоваться, в ручном или автоматическом режиме. При этом нужно помнить о важности предварительной проверки процесса обновлений критичных ресурсов. Отчасти это решается заведением в VM-систему активов-двойников, позволяющих оперативно протестировать процесс обновления на точной копии критичного ресурса.
Автоматизация, конечно, отличный подход, но давайте представим ситуацию: найдена критическая уязвимость ОС, на которой установлено бухгалтерское ПО. Проводится автопатчинг, после которого программа перестает работать, потому что бухгалтерское ПО не поддерживает новую версию ОС. И как часто бывает, бэкап делался полгода назад, а именно сегодня нужно проводить оплату. Кто будет виноват?
Решение об устранении уязвимости принимает ИБ, тестирует обновление – ИТ. Никто не отменял процесс проверки и установки обновлений в ИТ-департаменте. А в какие сроки это все будет происходить, закладывается во время формирования процесса VM. Поэтому в большинстве случаев VM-процесс не исключает ручное вмешательство.
Совсем не обязательно, что устранение уязвимостей будет производиться в ручном режиме. Зачастую современные средства автоматизации позволяют массово управлять обновлениями. Однако это не исключает тех случаев, когда какие-либо устройства или системы надо будет обновлять вручную. Это может быть связано со специфическим настройками, сбоями или характером работы самой системы.