Управляем уязвимостями в ИТ правильно

В таких случаях реакция службы информационной безопасности компаний должна быть незамедлительной. Поэтому наличие процесса управления уязвимостями является важным элементом в обеспечении ИБ. Кроме того, такой процесс необходим и с точки зрения выполнения рекомендаций по обеспечению информационной безопасности в компании (CIS TOP 18 Security Controls) и соблюдению требований регуляторов. Осуществление процесса управления уязвимостями обязательно для ГИС, объектов КИИ, а также ИС, в которых осуществляются финансовые операции и обрабатываются персональные данные.

Каждый отдельный компонент процесса управления уязвимостями является значимым и обладает своей спецификой. Неграмотный подход к работе с ними может привести к неэффективности всей работы в целом. Рассмотрю подробнее.

1. Инвентаризация активов. Здесь мы обеспечиваем «видимость» всех сканируемых устройств: установить сетевые правила для обеспечения "доступности" систем в разных сетях (VLAN / LAN), настраиваем уведомления в адрес оператора средств защиты информации в адрес оператора средства защиты информации об обнаружении ранее не зарегистрированного устройства и интегрируемся с системой учета ИТ-средств.

2. Выявление уязвимостей (White Box/ Black Box). Убеждаемся в наличии необходимых прав, так как сканирование должно осуществляться с правами администратора системы внутренних IP-адресов с доступом во все участки VLAN/LAN.

3. Выработка рекомендаций. Это критически важный этап: здесь нужно подготовить ИТ-подразделению подробный отчет, отражающий наиболее уязвимые объекты инфраструктуры. Также нужно необходимо приоритезировать выявленные уязвимости и ИТ-активы, где эти уязвимости были выявлены, «обогатить» SIEM/IRP-системы информацией об уязвимых хостах и исключить ложноположительные (FP) срабатывания сканера, чтобы не решать проблемы там, где их нет.  

4. Устранение уязвимостей. Согласовать время установки обновлений системы и убедиться в наличии процесса экстренного обновления систем (Emergency Patching), который необходимо проводить при выявлении уязвимостей 1 дня (1-day) которые активно используются в атаках хакерскими группами.

5. Контроль устранения уязвимостей. Наладить совместную работу с ИТ-подразделениями по устранению уязвимостей и осуществлению последующего контроля закрытия уязвимостей путем внедрения компенсационных мер.

Предположим, мы приняли решение о необходимости наличия процесса управления уязвимостями. Далее встает вопрос о выборе технического средства, которое позволит реализовать поставленные задачи. Задаем себе следующие вопросы:

• Какие задачи необходимо решать
  Это может быть аудит на предмет наличия уязвимостей, пентест или оценка соответствия.

• Какие системы в организации должны непрерывно сканироваться
  Windows / Unix, СУБД, сетевое оборудование, веб-серверы, системы виртуализации, Docker / Kubernetes или ERP-системы.

• Присутствуют ли требования со стороны регуляторов, накладывающие ограничения при выборе технического средств
  Необходимо ли наличие сертификата ФСТЭК и других документов.

• Есть ли ограничения по бюджету
  Важно оценить бюджет на закупку программного обеспечения, необходимость обучения специалиста по ИБ и целесообразность привлечения аутсорсинговой компании.