Эксплуатация уязвимостей остаётся одним из самых распространённых способов проникновения в организации. Рассмотрим на примере работы с MaxPatrol VM, системы для управления уязвимостями, как правильно выстроить процесс Vulnerability Management.
- Введение
- Из чего состоит управление уязвимостями
- Как выстроить эффективную систему управления уязвимостями
- Выводы
Введение
Согласно исследованию Positive Technologies, в третьем квартале 2024 года доля успешных атак на компании через эксплуатацию уязвимостей составила 33 %. Эксперты по кибербезопасности отмечают, что для защиты инфраструктуры и предотвращения недопустимых событий организациям важно выстроить процесс управления уязвимостями (Vulnerability Management, VM).
Выявлять недостатки безопасности в инфраструктуре, обрабатывать их и контролировать ход устранения, а также оценивать общий уровень защищённости компаниям помогают продукты класса VM. Рассмотрим их работу на примере системы от Positive Technologies — MaxPatrol VM. Она позволяет компаниям узнавать о трендовых уязвимостях в течение 12 часов с момента обнаружения и исправлять их до того, как ими смогут воспользоваться злоумышленники.
В основе решения лежит технология управления активами, которая постоянно актуализирует данные об ИТ-инфраструктуре. Благодаря этому информация о новых уязвимостях отображается без повторного сканирования, а при необходимости специалисты могут провести точечную проверку. Кроме того, MaxPatrol VM учитывает значимость активов и приоритизирует угрозы по уровню их опасности для бизнес-процессов. Также в системе можно настраивать шаблоны отчётов по уязвимостям, узлам и компонентам.
Из чего состоит управление уязвимостями
Процесс работы в MaxPatrol VM строится из следующих шагов: выявление уязвимостей, их анализ и приоритизация, устранение и контроль недостатков безопасности. Рассмотрим подробнее каждый этап.
Выявление уязвимостей
Данный этап реализовывается автоматически, благодаря тому что MaxPatrol VM оперативно получает максимально достоверную информацию об уязвимостях изо всех возможных каналов: от вендоров средств защиты, из прикладного ПО, операционной системы и общедоступных источников — CVE MITRE и БДУ ФСТЭК России. Это позволяет максимально быстро проверять наличие этих угроз в системах и переходить к их устранению.
Специалистам по ИБ нужно выбрать активы для сканирования, настроить частоту проверок, а также определить режим и технические условия, необходимые для поиска, например выделенную учётную запись или сетевую доступность.
Приоритизация уязвимостей
Не все угрозы несут одинаковый риск, поэтому необходимо правильно расставить приоритеты их обработки. Для этого стоит оценить возможные последствия злонамеренного использования уязвимости, значимость актива, наличие эксплойта или примера эксплуатации, доступность уязвимого актива для потенциального нарушителя, а также уровень риска по метрикам CVSS и методике ФСТЭК России.
В первую очередь необходимо сконцентрироваться на наиболее опасных угрозах на периметре, а после — на целевых и ключевых системах. Также в приоритетном порядке стоит устранять трендовые уязвимости, которые злоумышленники используют в атаках прямо сейчас.
Устранение уязвимостей
ИТ-специалисты обычно устанавливают обновления пакетами, для этого им нужны перечень узлов и краткая справка об уязвимости. Поэтому в отчёт для каждого участника процесса необходимо включать только то, что находится в его зоне ответственности.
Большинство уязвимостей следует устранять в ходе регулярного обновления, а внепланового вмешательства требуют трендовые бреши и те, для которых нет официального патча от вендора. Если от угрозы нельзя избавиться путём обновления или её устранение в данный момент нецелесообразно, применяются компенсирующие меры: постановка актива на мониторинг, изменение конфигурации, отключение неиспользуемых функций, отказ от уязвимых компонентов в пользу защищённых аналогов и другие. Такие меры не всегда устраняют уязвимость полностью, но существенно снижают риск её эксплуатации злоумышленником.
Контроль устранения уязвимостей
На этом этапе определяется реальный уровень защищённости инфраструктуры. Важно убедиться, что ранее обнаруженные уязвимости устраняются в первоначально согласованные сроки. MaxPatrol VM позволяет контролировать этот процесс в автоматизированном режиме.
Если специалист по кибербезопасности видит, что уязвимость не была устранена вовремя, он должен выяснить причину у администратора актива, зафиксировать статус и дальнейшие шаги. Несоблюдение сроков — явное основание для пересмотра SLA.
Как выстроить эффективную систему управления уязвимостями
Запомнить, как правильно действовать в каждой конкретной ситуации, невозможно: способов — бесконечное количество. Поэтому систему управления уязвимостями следует строить на определённых принципах — их немного. С их помощью проще осуществлять самоконтроль и отвечать на вопрос, почему сделано именно так, а не иначе. Работа системы MaxPatrol VM, например, базируется на следующих принципах:
- Минимальная зависимость от человека. Документирование процессов и знаний помогает уменьшить зависимость от конкретного сотрудника, а автоматизация сокращает ручной труд и минимизирует число человеческих ошибок. Всё это делает систему более устойчивой.
- Своевременное получение информации об изменениях — «точно вовремя». Знать об изменениях нужно именно в тот момент, когда они происходят или планируются. При этом значение «точно вовремя» может быть разным в зависимости от актива. Например, для серверов и виртуальных машин службу ИБ больше интересует, когда они были введены в эксплуатацию, а в случае информационных систем — когда их внедрение только планируется.
- Максимальная достоверность. Для того чтобы не пропустить уязвимости на важных активах из-за недостатка информации, необходимо получать максимально достоверные данные обо всех узлах инфраструктуры.
- Управление по отклонениям. Этот принцип особенно важен при проектировании процессов. Следует стремиться к тому, чтобы человек не вмешивался в нормальный ход работ или передачу данных, а операционные задачи занимали не более 50 % рабочего времени специалистов. Освободившиеся ресурсы можно потратить на развитие компетенций сотрудников и оптимизацию других процессов кибербезопасности.
- Самоконтроль. Созданные процессы должны позволять легко контролировать ваши действия и правильность их выполнения. В противном случае придётся строить дополнительные контуры и нанимать больше людей, что будет более трудозатратно и менее эффективно.
- Явный обмен информацией. Очень важно, чтобы служба ИБ понятно доносила информацию о своих действиях и их причинах коллегам, с которыми ведётся совместная работа: ИТ, DevOps и другим. Так они будут лучше понимать потребности и принципы работы специалистов по кибербезопасности и учитывать их при принятии собственных решений.
- Встраивание в существующие процессы. У каждого подразделения есть главная функция, на которой сосредоточено больше всего внимания. Если задача дополнительная, о ней могут забыть. Важно изучить существующие процессы и понять, в какие точки можно встроиться, чтобы получать информацию об изменениях в инфраструктуре или компании.
- Комбинация подходящих инструментов. Этот принцип перекликается с предыдущим. Не следует внедрять дополнительные системы, отнимающие время, энергию, деньги. Эффективнее будет максимально задействовать те инструменты, которые уже используются другими подразделениями.
Выводы
MaxPatrol VM помогает компаниям минимизировать количество возможных векторов атак на инфраструктуру. Поскольку система хранит полную информацию обо всех активах, у службы ИБ нет необходимости проводить дополнительные сканирования. Кроме того, данные о трендовых уязвимостях, эксплуатируемых злоумышленниками прямо сейчас, появляются в MaxPatrol VM в течение 12 часов с момента их обнаружения. Всё это позволяет максимально быстро оценивать уровень угрозы для конкретной компании и принимать соответствующие меры.
