Connect with us

Основы управления уязвимостями

Кибербезопасность

Основы управления уязвимостями

mm
Published
Updated

Управление уязвимостями – это сочетание процессов и продуктов, направленных на поддержание инвентаризации цифровой инфраструктуры организации, сканирование ее на наличие уязвимостей и устранение выявленных слабостей. Это циклическая практика и противоположность хорошо известному принципу ИТ, который гласит: «Если это не сломано, не исправляй это». Этот принцип просто не работает в сфере безопасности предприятий в наши дни. Если цифровые активы не постоянно отслеживаются и укрепляются, они превращаются в легкую добычу.

Сканер недостаточен

В отличие от сканеров уязвимостей, основная цель управления уязвимостями заключается в укреплении безопасности инфраструктуры и обеспечении аварийного реагирования на суперопасные угрозы. Обнаружение лазейки в системе – это половина битвы, но ее необходимо исправить, чтобы злоумышленники не смогли использовать ее как точку входа. Методы оценки уязвимостей и определения приоритетов выявленных проблем на основе инфраструктуры клиента столь же важны. Сканеры не делают этого.

Управление уязвимостями, по сути, является дополнением к процессу сканирования, которое оценивает, определяет приоритеты и устраняет выявленные уязвимости. Потребности клиентов меняются, тогда как основная цель ранее сводилась к обнаружению уязвимости, теперь она заключается в способах решения проблемы.

Что касается моделей лицензирования, используемых системами управления уязвимостями, они обычно основаны на количестве защищенных IP-адресов. Не важно, где они находятся или сколько установок требует клиент. Стоимость сканера уязвимостей, с другой стороны, зависит от количества установок и параметров сканирования, таких как количество хостов.

Кроме того, существуют разные типы установок, и некоторые поставщики предлагают неограниченное использование своих систем. Цена также может зависеть от набора функций, некоторые из которых доступны как оплачиваемые дополнения.

Критерии выбора системы управления уязвимостями

Самые важные характеристики включают размер организации, количество ее филиалов, расположенных в разных часовых поясах, а также локализацию продукта, которая представляет собой способность обнаруживать регионспецифические и отраслевые уязвимости.

Интересным фактором является то, насколько хорошо могут договориться отделы информационной безопасности и ИТ компании о необходимых функциях решения. Специалисты по информационной безопасности обычно отдают приоритет обнаружению уязвимостей, в то время как команды ИТ в основном сосредоточены на развертывании исправлений. Следовательно, совпадение этих двух областей определит параметры системы.

Также стоит обратить внимание на полноту и частоту обновлений, а также на операционные системы, которые поддерживает сканер. Идеальная система управления уязвимостями также должна соответствовать контексту отрасли, которую представляет организация, и приложениям, которые она в настоящее время использует.

На этапе подписания контракта поставщик может заверить клиента в своей готовности добавить новые продукты и функции в будущем. К сожалению, некоторые поставщики не всегда выполняют такие обязательства. Следовательно, лучше сосредоточиться на функционале, уже доступном в решении.

Полезной функцией любой системы управления уязвимостями является возможность обогащать свою собственную базу уязвимостей информацией из внешних источников. Также хорошо, если решение может предоставить пример эксплойта, который использует конкретную уязвимость.

Большинство клиентов сталкиваются с классическим дилеммой: использовать бесплатный сканер или купить коммерческое решение с самого начала. Поддержание актуальной базы уязвимостей – это трудоемкий и дорогой процесс. Следовательно, в случае с бесплатным продуктом команда разработчиков может быть вынуждена отдавать приоритет другим областям своей деятельности в поисках альтернативных источников дохода, что объясняет, почему эти сканеры имеют некоторые ограничения.

Инструменты под зонтиком управления уязвимостями

Набор решений, необходимых для организации процесса управления уязвимостями внутри компании, может включать:

  •       Различные инструменты для сбора информации об уязвимостях, такие как сканеры, инструменты для обработки данных из внешних источников и репозитории информации, полученной независимо специалистами по информационной безопасности.
  •       Инструменты для определения приоритетов уязвимостей, которые определяют баллы CVSS и оценивают стоимость актива, потенциально затронутого уязвимостью.
  •       Инструменты для взаимодействия с внешними базами данных.
  •       Системы, которые обрабатывают уязвимость в контексте организации, ее инфраструктуры и глобальной поверхности атак.

Управление активами и автоматическое применение исправлений

Процесс управления активами должен иметь максимальную степень автоматизации, охватывать всю инфраструктуру организации и происходить на регулярной основе. Невозможно определить приоритеты уязвимостей, если эти условия не выполнены. Также невозможно контролировать ИТ-инфраструктуру организации, не зная точно, из чего она состоит. Следовательно, управление активами является чрезвычайно важной частью управления уязвимостями.

Основным предварительным условием для автоматизации процесса управления исправлениями является присвоение конкретного идентификатора каждой уязвимости и обеспечение того, чтобы следующее обновление устраняло ее. Это сложный рабочий процесс с множеством подводных камней. Последствия пропуска одного обновления могут быть катастрофическими, поэтому развертывание исправлений должно быть максимально организовано.

Также важно настроить автоматическое применение исправлений для конкретной области применения. Для рабочих станций допустимо ограничить обновления операционной системой и базовым программным обеспечением, таким как браузеры и офисные приложения. В случае с серверами все более сложно, поскольку здесь многое поставлено на карту, и ошибочное обновление может повлиять на доступность критически важных ИТ-ресурсов.

Когда речь идет о мониторинге инфраструктуры предприятия, большинство компаний предпочитают сканирование над установкой агентов на конечных точках, поскольку они часто становятся точками входа для вредоносного ПО. Однако, если хост не может быть доступен никаким другим способом, необходимо использовать приложения для сбора данных.

Как упоминалось ранее, бесперебойное взаимодействие между отделами информационной безопасности и ИТ делает разницу. Две команды должны согласовать политики, которые определяют, кто отвечает за установку обновлений для определенных ресурсов и как часто это происходит. По сути, процесс управления уязвимостями должен сводиться к мониторингу соблюдения этих соглашений и установке срочных исправлений.

Что ждет системы управления уязвимостями в будущем?

На данный момент наблюдается четкая тенденция к увеличению автоматизации мониторинга активов и развертывания исправлений. Поскольку инфраструктуры предприятий продолжают мигрировать в облако, вполне возможно, что процесс сканирования уязвимостей будет сводиться к проверке настроек безопасности облака. Другим эволюционным вектором является улучшение систем оценки уязвимостей. Инструменты для определения приоритетов уязвимостей будут включать больше данных, особенно о наиболее «эксплуатируемых» уязвимостях.

Также есть хороший шанс, что эти системы перейдут на логику «все в одном» в течение следующих нескольких лет, когда одно решение будет предоставлять полный спектр инструментов управления информационной безопасностью. Возникновение комплексной платформы, которая включает в себя возможности управления уязвимостями, управления активами и управления рисками, а также другие функции защиты, довольно вероятно. Возможно, будет создана единая консоль управления уязвимостями для всех элементов цифровой инфраструктуры – от сервера или принтера до контейнера на выделенном хосте.

Related Topics:
mm

Дэвид Балабан - исследователь компьютерной безопасности с более чем 17-летним опытом в области анализа вредоносного ПО и оценки антивирусного программного обеспечения. Дэвид управляет проектами MacSecurity.net и Privacy-PC.com, которые представляют собой экспертные мнения по современным вопросам информационной безопасности, включая социальную инженерию, вредоносное ПО, тестирование на проникновение, интеллект угроз, онлайн-приватность и белую хакерскую атаку. Дэвид имеет сильный опыт в решении проблем с вредоносным ПО, с недавним акцентом на противодействии программам-вымогателям.