Управление уязвимостями (Vulnerability Management / VMDR)

Управление уязвимостями – это процесс, направленный на минимизацию возможных векторов атаки для злоумышленников. Результатом управления уязвимостями является инфраструктура, лишенная уязвимостей, которые хакер смог бы использовать в ходе атаки.

Следовательно, управление уязвимостями – это залог безопасности всех компьютерных систем, который позволяет уберечь как от шифровальщиков и DDoS, так и от утечек данных.

Что такое управление уязвимостями и зачем оно нужно

Процесс управления уязвимостями может иметь достаточно большое количество трактовок, в зависимости от типа уязвимостей.

Так, управление уязвимостями операционной системы за счет установки патчей или наложенных средств защиты – большой, но не единственный раздел.

Также существуют уязвимости, связанные с социнженерией, направленные на обучение персонала (в том числе автоматизированное с применением LMS) и перекрытие возможных точек ошибки или недобросовестного поведения.

Уязвимости программного обеспечения и настроек, как правило, проводятся автоматизировано, при помощи сканеров уязвимостей (решений класса VS), а, например, парольной политики – вручную.

К чему может привести отсутствие управления уязвимостями

Отсутствие управления рисками любой категории – открытие дверей для хакеров.

Недообученные сотрудники отправят злоумышленнику клиентскую базу, приняв его за руководителя. А отсутствие заплаток на серверных ОС – прямой путь начать очередное утро с зашифрованными данными.

Нормативные требования, требования регуляторов по управлению уязвимостями

Требования по управлению уязвимостями содержатся во многих нормативно-правовых документах как прямо, так и опосредованно.

В ГОСТ 57580.1 – управлению уязвимостями посвящен целый процесс, а приказы ФСТЭК по КИИ (№239) и ПДн (№21) требуют проводить анализ и устранение уязвимостей – фактически, управление ими.

При этом нормативные требования направлены на информационные системы, и такие их компоненты, как прикладное и системное программное обеспечение и активное сетевое оборудование.

Способы управления уязвимостями и отличие от пентеста

Зачастую управление уязвимостями путают с их поиском и/или оценкой. На самом деле это лишь некоторые из этапов управления.

Ключевым в управлении уязвимостями является устранение уязвимости, либо планирование этого процесса, если сразу устранение невозможно по объективным причинам.

Устранение может проводиться следующими способами:

• Обновление ПО
• Изменение настроек
• Применение наложенных средств защиты
• Принятие уязвимости ввиду невысокой вероятности ее реализации и незначительного потенциального ущерба

Очевидно, что такие методы как пентест и такие инструменты как VS позволяют обнаружить уязвимости, а также оценить их значимость, называемую чаще критичностью. Для оценки также применяются средства VA или экспертные команды (в том числе, в рамках пентеста).

Жизненный цикл уязвимости и этапы процесса управления уязвимостями

При управлении уязвимостями следует очертить границы применения этой процедуры. С одной стороны, это позволяет сэкономить, а с другой – не ждать «чуда» в сегментах, где управление не применяется.

Для этого необходимо провести инвентаризацию активов – информационных систем и/или их составляющих. Это укладывается не только в законодательство по ПДн, КИИ и т. д., но и соответствует здравому смыслу.

При инвентаризации выделяют:

• Информацию
• Информационные системы
• Сегменты сети
• Серверы и рабочие станции
• Их комплектующие (технические средства)
• Системное и прикладное программное обеспечение
• Сотрудники (пользователи и администраторы) – включая аутсорсинг и иных контрагентов

При таком уровне детализации граница очерчивается достаточно четко.

Сканирование и обнаружение уязвимостей (агентное / безагентное / конфигурационные ошибки)

Непосредственно поиск уязвимостей осуществляется различными способами:

• С помощью подрядчика (пентест)
• С помощью сетевого или локального сканера (специализированного ПО)
• Вручную (при ограничениях инфраструктуры)

Ручное и подрядный способы так или иначе базируются на экспертности, в то время как подход с использованием сканера уязвимостей дает чуть более сырые, но объективные сведения, требующие порой верификации.

Сканирование может проводиться только по сети (проще и быстрее), либо с применением агентов (полнее и с меньшей нагрузкой на сеть)

Оценка / приоритезация риска

При оценке рисков ключевую роль играет оценка критичности риска. Существуют различные шкалы для оценки, самые популярные – различные версии CVSS.

В конечном счете – уязвимости присваивается определенный приоритет, позволяющий установить порядок обработки этой уязвимости.

Очевидно, что принятие уязвимости высокой критичности недопустимо, также как и нецелесообразная установка средства защиты для закрытия некритичной уязвимости.

Планирование устранения уязвимостей

Способы устранения уязвимостей мы описали чуть выше, но необходимо упомянуть о том, что одномоменто невозможно обработать все уязвимости.

Поэтому составляется план их устранения, в зависимости от критичности уязвимости и ценности информации, КЦД может снизиться при реализации атаки.

Для планирования, как правило, привлекают службы IT и риск-менеджмента.

Повторное сканирование / проверка исправлений / контроль

После устранения, очевидно, требуется провести повторное сканирование или внешний пентест для проверки корректности проделанной работы.

В ряде случаев внешний подрядчик имеет другие инструменты и подходы, отличные от тех, что использовали специалисты. Это позволяет более объективно провести поиск уязвимостей.

Мониторинг, отчётность и улучшение (как измерять результат после)

Очевидно, управление уязвимостями – не разовая акция. Новые уязвимости обнаруживаются постоянно, инфраструктура и сотрудники меняются – по этой причине обнаружение уязвимостей должно идти постоянным фоном, а выявление новых уязвимостей – запускать процесс планирования, обработки и так далее. Только в этой ситуации можно считать себя в безопасности.

Преимущества управления уязвимостями для бизнеса

Безусловно, управление уязвимостями – ресурсоемкий процесс, который обеспечит безопасную инфраструктуру примерно через год после начала его внедрения, и то, при условии, что его не будет саботировать никто из участников.

Однако результат того стоит – при работающем процессе управления уязвимостями число успешных хакерских атак стремится к нулю, и уровень безопасности становится практически эталонным – так как обработка уязвимостей затрагивает практически все средства защиты.

Как часто нужно проводить аудит уязвимостей?

Если говорить про аудит как часть жизненного цикла управления уязвимостями, то регуляторы рекомендуют делать это хотя бы раз в год привлекая лицензиата ФСТЭК.

Эксперты рекомендуют сократить интервал вдвое и допускать привлечение к аудиту внутренней команды, если она не связана с процессом управления уязвимостями, то есть независима.