Уязвимости нужен правильный приоритет
Главным слабым местом систем управления уязвимостями является отсутствие аналитических средств. Это серьезным образом мешает выстраивать полноценную систему управления уязвимостями, что усиливает риски. К таким выводам пришли участники обсуждения по управлению уязвимостями на платформе AM Live.
Именно незакрытые уязвимости чаще всего открывают путь злоумышленникам для того, чтобы проникнуть в ИТ-инфраструктуру. Цена такого инцидента высока в прямом смысле этого слова. Как напомнил генеральный директор "Эшелон Технологии" Александр Дорофеев, средняя цена выкупа, который требуют злоумышленники за расшифровку данных, составляет $130 тыс. Процесс управления уязвимостями, который позволяет вовремя обнаружить, классифицировать, приоритезировать и устранить уязвимости в программном обеспечении в нынешних условиях актуален как никогда. Для этого служит целый класс ПО, которому было посвящено обсуждение в ходе конференции на онлайн-платформе AM Live.
Главной проблемой, по мнению участников обсуждения, стало устранение выявленных уязвимостей. На это слабое место обратил внимание руководитель направления Vulnerability Management платформы Solar MSS "Ростелеком-Солар" Максим Бронзинский. Линейное устранение уязвимостей, как отметил заместитель генерального директора по ИТ "Алтэкс-Софт" Сергей Уздемир, не работает, поскольку крайне трудоемко и к тому же сопряжено с большим количеством рисков.
Ведущий аналитик по ИБ банка "Тинькофф" Александр Леонов обратил внимание, что установка патчей требует больших усилий от ИТ-администраторов. Также проблемой является то, что многие сканеры уязвимостей запускаются с правами суперпользователя, что само по себе сопряжено с немалым риском, и это приводило к разного рода инцидентам. Серьезным вопросом является ответственность и корректность приоритезации уязвимостей. Поэтому решение данной задачи часто просто саботируется, поскольку никто не хочет брать на себя ответственность. Большой вопрос - своевременное обновление баз знаний. Далеко не всегда данные о недавно обнаруженном эксплоите вовремя туда попадают. В итоге от ручной работы при построении патч-менеджмента не уйти.
Положение, как напомнил руководитель направления по развитию решений для управления уязвимостями и мониторинга ИБ Positive Technologies Илья Егоркин, усугубляет дефицит кадров ИБ-специалистов.
Уязвимости необходимо приоритезировать, а решение этой задачи возможно только вручную. Эффективность работы систем управления рисками при решении данной задачи оставляет желать много лучшего.
К тому же, как отметил Илья Егоркин, единым процесс управления уязвимостями является только в теории. На практике же для тиражного, самописного и заказного ПО он строится по-разному. Например, как подчеркнул Сергей Уздемир, необходимо интегрировать процессы управления уязвимостями и безопасной разработки.
Максим Бронзинский обратил внимание, что существующие системы очень плохо решают задачу приоритезации как уязвимостей, так и ИТ-активов. Также в распределенных инфраструктурах приходится использовать разные инсталляции ПО, но при этом средства агрегации данных отсутствуют. Также, по его мнению, не хватает прозрачности в том, какие алгоритмы разработчики систем управления уязвимостями используют для приоритезации. По мнению Ильи Егоркина, в продуктах по управлению уязвимостями не хватает аналитических инструментов или интеграции с внешними.
Александр Леонов считает проблему отсутствия единого дашборда не главной. По его оценке, главное - невозможность проверки качества детекта. Особенно это относится к коммерческому ПО, разработчики которого часто сами не владеют информацией об имеющихся уязвимостях. Однако Александр Дорофеев посоветовал следовать рекомендациям регуляторов, в частности ФСТЭК.
Серьезной проблемой стал уход зарубежных вендоров. Перед российскими разработчиками встала задача импортозаместить процесс разработки. Как подчеркнул Илья Егоркин, это оказалось непростой задачей. Пришлось заново создавать репозитории и библиотеки, и это помимо создания собственной базы уязвимостей и портирования ПО на отечественные операционные системы. Однако, как подчеркнул Александр Леонов, все равно придется выстраивать отношения с зарубежными вендорами ПО.