Основы управления уязвимостями

Управление уязвимостями представляет собой комбинацию процессов и продуктов, направленных на ведение инвентаризации цифровой инфраструктуры организации, зондирование ее на предмет уязвимостей и устранение выявленных слабых мест. Это цикличная практика и антипод известной ИТ-пословицы, которая гласит: «Если что-то не сломалось, не чини». В наши дни этот принцип просто не работает в корпоративной безопасности. Если цифровые активы не отслеживаются и не укрепляются постоянно, они превращаются в низко висящие плоды.

Сканера недостаточно

В отличие от сканеры уязвимостей, основная цель управления уязвимостями - повысить безопасность инфраструктуры и обеспечить экстренное реагирование на некоторые сверхопасные угрозы. Найти лазейку в системе - это половина дела, но она должна быть устранена, чтобы злоумышленники не могли использовать ее как точку входа. Не менее важны методы оценки уязвимости и приоритезации обнаруженных проблем на основе инфраструктуры клиента. Сканеры этого не делают.

Управление уязвимостями, по сути, является дополнением к процессу сканирования, которое оценивает, устанавливает приоритеты и устраняет обнаруженные уязвимости. Потребности клиентов меняются, тогда как раньше ключевая цель сводилась к обнаружению уязвимости, теперь это больше касается способов решения проблемы.

Что касается моделей лицензирования, используемых системами управления уязвимостями, они обычно основаны на количестве защищенных IP-адресов. Не имеет значения, где они расположены и сколько установок требует заказчик. Стоимость сканера уязвимостей, с другой стороны, зависит от количества установок и параметров сканирования, таких как количество хостов.

Кроме того, существуют различные типы установок, при этом некоторые поставщики предлагают неограниченное использование своих систем. На цену также может влиять набор функций, некоторые из которых доступны в качестве платных дополнительных услуг.

Критерии выбора системы управления уязвимостями

Наиболее важные характеристики включают размер организации, количество ее филиалов, расположенных в разных часовых поясах, а также локализацию продукта, то есть способность обнаруживать уязвимости, специфичные для региона и отрасли.

Интересный фактор связан с тем, насколько хорошо отделы информационной безопасности и ИТ компании могут согласовывать необходимые функции решения. Специалисты InfoSec обычно уделяют первоочередное внимание обнаружению уязвимостей, в то время как ИТ-команды в основном сосредоточены на развертывании исправлений. Следовательно, перекрытие этих двух областей будет определять параметры системы.

Также стоит посмотреть на полноту и частоту обновлений, а также на операционные системы, которые поддерживает сканер. Идеальная система управления уязвимостями также должна соответствовать контексту отрасли, которую представляет организация, и приложениям, которые она в настоящее время использует.

На этапе подписания контракта поставщик может заверить клиента в своей готовности добавлять новые продукты и функции в будущем. К сожалению, некоторые провайдеры не всегда выполняют такие обязательства. Поэтому лучше сосредоточиться на доступной функциональности решения.

Полезная функция любого система управления уязвимостями - это возможность пополнить вашу собственную базу данных уязвимостей информацией из сторонних источников. Также хорошо, если решение может предоставить пример эксплойта, который использует конкретную уязвимость.

Большинство клиентов сталкиваются с классической дилеммой: использовать бесплатный сканер или с самого начала приобрести коммерческое решение. Поддержание актуальной базы данных уязвимостей - утомительный и дорогостоящий процесс. Следовательно, в случае бесплатного продукта команде разработчиков, возможно, придется расставить приоритеты в других областях своей деятельности в поисках альтернативных источников дохода, что объясняет, почему эти сканеры имеют некоторые ограничения.

Инструменты под эгидой управления уязвимостями

Набор решений, необходимых для организации процесса управления уязвимостями в компании, может включать:

•       Различные инструменты для сбора информации об уязвимостях, такие как сканеры, инструменты для обработки данных из сторонних источников и репозитории информации, независимо полученной специалистами InfoSec.
•       Инструменты приоритезации уязвимостей, которые определяют оценки CVSS и измеряют стоимость актива, потенциально затронутого уязвимостью.
•       Инструменты для взаимодействия с внешними базами данных.
•       Системы, которые обрабатывают уязвимости в контексте организации, ее инфраструктуры и глобальной поверхности атаки.

Управление активами и автоматические исправления

Процесс управления активами должен иметь максимальную степень автоматизации, охватывать всю инфраструктуру организации и происходить на регулярной основе. Без выполнения этих условий невозможно расставить приоритеты по уязвимостям. Кроме того, невозможно контролировать ИТ-инфраструктуру организации, не зная точно, из чего она состоит. Следовательно, управление активами - чрезвычайно важная часть управления уязвимостями.

Основное условие автоматизации управление патчами Процесс заключается в присвоении определенного идентификатора каждой сигнатуре уязвимости и обеспечении ее устранения в следующем обновлении. Это сложный рабочий процесс со множеством подводных камней. Последствия пропуска одного обновления могут быть катастрофическими, поэтому развертывание исправлений должно быть максимально организовано.

Также важно настроить автоматические исправления для конкретной области приложения. Для рабочих станций допустимо ограничивать обновления операционной системы и базового программного обеспечения, такого как браузеры и офисные приложения. В случае с серверами все обстоит сложнее, потому что на карту поставлено очень многое, а обновление с ошибками может повлиять на доступность критически важных для бизнеса ИТ-ресурсов.

Когда дело доходит до мониторинга корпоративной инфраструктуры, большинство компаний предпочитают сканирование, а не установку агентов на конечных точках, поскольку они часто становятся точки входа вредоносного ПО. Однако, если к хосту невозможно добраться каким-либо другим способом, необходимо использовать приложения для сбора данных.

Как упоминалось ранее, беспрепятственное взаимодействие между InfoSec и ИТ-отделами имеет значение. Обе группы должны согласовать политики, определяющие, кто отвечает за установку обновлений для определенных ресурсов и как часто это будет происходить. По сути, процесс управления уязвимостями должен сводиться к контролю за соблюдением таких соглашений и установке срочных исправлений.

Что ждет в будущем системы управления уязвимостями?

На данный момент наблюдается четкая тенденция к увеличению автоматизации мониторинга активов и развертывания исправлений. Поскольку корпоративные инфраструктуры продолжают мигрировать в облаковполне вероятно, что процесс сканирования уязвимостей будет сведен к проверке настроек безопасности облака. Другой вектор эволюции сводится к совершенствованию систем оценки уязвимости. Инструменты приоритезации уязвимостей будут включать больше данных, особенно относительно наиболее «эксплуатируемых» уязвимостей.

Также существует большая вероятность того, что в ближайшие несколько лет эти системы перейдут на логику «все-в-одном», когда единое решение обеспечит полный спектр инструментов управления InfoSec. Вполне вероятно появление всеобъемлющей платформы, включающей функции управления уязвимостями, активами и рисками, а также другие функции защиты. Возможно, будет единая консоль управления уязвимостями для всех элементов цифровой инфраструктуры - от сервера или принтера до контейнера на выделенном хосте.