Дыры ценой в бизнес: как грамотно выстроить процесс управления уязвимостями

О том, как в компаниях обычно строится управление уязвимостями, что с ним не так и как на самом деле должен выглядеть грамотно организованный процесс в современных реалиях, рассказывают Антон Царев, старший инженер по информационной безопасности компании «Мобиус Технологии», и Юлия Муртазина, аналитик SOC, «Мобиус Технологии».

Трендовые уязвимости 2025 года

Уязвимости в инфраструктуре — это дыры, которые могут нанести существенный урон любому, даже самому устойчивому бизнесу. Это могут быть утечки персональных данных клиентов, компрометация конфиденциальной и финансовой информации или интеллектуальной собственности. Уязвимости содержатся в программном и аппаратном обеспечении, а также в процессах, которые злоумышленники могут использовать для несанкционированного доступа. Эти бреши возникают из-за ошибок в коде, неправильной конфигурации, устаревшего программного обеспечения, недостаточных мер безопасности или даже поведения людей. Самыми трендовыми из них являются:

• Уязвимости в облачной инфраструктуре
• Уязвимости в IoT
• Уязвимости в веб-приложениях
• Уязвимости в системах машинного обучения

В свою очередь, к самым распространенным типам атак относятся:

• Подстановка учетных данных (CredentialStuffing)
• Финансовое мошенничество (FinancialFraud)
• Атаки шифровальщиков
• Промышленные шпионские кампании (IndustrialEspionage)
• Атаки на цепочку поставок (SupplyChainAttacks)

С начала года исследователи находят все новые и новые уязвимости в самых известных и распространенных программных и аппаратных продуктах.

В устройствах Zyxel была обнаружена уязвимость, связанная с использованием стандартных учетных данных для подключения через Telnet. Этот недостаток затрагивает ряд популярных моделей устройств. Удаленный злоумышленник может воспользоваться этой дырой для получения несанкционированного доступа к интерфейсу управления уязвимыми устройствами. После получения доступа он сможет загрузить дополнительное вредоносное ПО, которое повысит степень опасности и обеспечит долгосрочный доступ к сети.

В платформе Cisco также была обнаружена критическая уязвимость. Она связана с небезопаснойдесерелизациейJava. Платформа используется для управления доступом и идентификации пользователей. То есть атакующий, пройдя предварительную аутентификацию, может выполнить произвольные команды с наивысшими привилегиями в самой системе, отправляя специально созданные объекты Java.

Помимо сетей, ряд угроз был найден в операционных системах. Так, в MacOS обнаружили проблему безопасности, которая связана с нарушением режима ограниченной доступности USB. То есть при наличии физического доступа злоумышленник может отключить ограничение USB, открыв устройство для дальнейших действий.

Кроме новых уязвимостей, есть и такие, которые существуют уже многие годы, в том числе у крупных вендоров. Однако их не планируют закрывать, и они остаются даже в более новых версиях. В качестве примера можно привести брешь, которая появилась еще в ранних версиях Windows, начиная с 1998 года, и сохраняется вплоть до последних выпусков: это Windows 11 и Server 2022. Уязвимость относится к RDP, который за прошедшие десятилетия стал неотъемлемой частью корпоративной инфраструктуры. Уязвимость связана с особенностью хранения паролей в локальной системе. Предыдущие варианты паролей сохраняются в виде временных копий и продолжают оставаться действительными для удаленных сессий. Особенно остро данная угроза проявляется в сфере удаленной работы, ставшей популярной в последние годы. Многие пользователи полагаются исключительно на смену пароля как способ защитить свою систему от компрометации, что теперь оказывается неэффективным средством.

Это далеко не весь список уязвимостей, найденных в 2025 году: только за первый его квартал добавилось 159 новых CVE-идентификаторов. Как компаниям защитить бизнес в условиях, когда слабые места находятся в решениях даже самых авторитетных вендоров? Ответом должна стать грамотно выстроенная система управления уязвимостями.

Что мешает управлять уязвимостями?

Управление уязвимостями — это непрерывный циклический процесс выявления и устранения уязвимостей в инфраструктуре, требующий тесной синхронизации между ИБ и ИТ. На практике в большинстве организаций это взаимодействие обычно пробуксовывает, и причина заключается не только в сложности инфраструктуры и или числе угроз, но и в плохо выстроенной коммуникации между командами и отсутствии сквозных процессов. При этом можно выделить три основных барьера.

Во-первых, нет полноты охвата инфраструктуры: присутствуют задержки в получении актуальных данных о сети, нет возможности частого сканирования, а специалист по информационной безопасности проверяет только те узлы, о которых знает.

Во-вторых, уязвимостей слишком много. Закрыть все без исключения невозможно, а правильно приоритизировать задачи по их устранению тоже сложно, потому что нет понимания, какие именно уязвимости наиболее опасны для той или иной конкретной инфраструктуры.

В-третьих, сложность вносит необходимость взаимодействия с ИТ-подразделением: специалистам по информационной безопасности приходится каждый раз объяснять сотрудникам ИТ-отдела, зачем нужно устранять конкретную уязвимость. К тому же нет возможности контролировать статус и сроки. Все это требует пересмотра политик управления уязвимостями, а также инструментов нового поколения.

Чтобы устранить эти барьеры, необходимо внедрение двухконтурного процесса управления уязвимостями. Он должен включать два блока: плановую обработку и работу с особо опасными уязвимостями. В рамках первого блока в ИТ-отделе внедряется независимый от ИБ патч-менеджмент, а служба информационной безопасности контролирует не сами обновления, а соблюдение договоренностей и сроков. Второй блок фокусируется на уязвимостях, имеющих публично доступные эксплойты и затрагивающих критически важные активы. О сроках, приоритетах, способах устранения таких уязвимостей ИБ и ИТ договариваются отдельно. Такая структура позволяет четко разделить зоны ответственности. ИБ занимается выявлением и контролем, ИТ — устранением, что и формирует устойчивый и эффективный процесс.

Как должен быть устроен процесс управления уязвимостями

Как выстроить управление уязвимостями, чтобы избавиться от всех перечисленных недостатков? Весь процесс можно разделить на два больших блока: работа с уязвимостями на внешнем и на внутреннем периметре. По структуре процесс в целом схож, но характер угроз отличается, что требует разного подхода к приоритизации и реагированию. На внешнем периметре на первый план выходит быстрое реагирование на публично известные уязвимости, особенно если под них уже существуют эксплойты. Внутренний периметр требует системной и плановой работы — прежде всего через патч-менеджмент, который выполняет ИТ-отдел по правилам, согласованным с подразделением ИБ. Таким образом, современный подход к управлению уязвимостями строится на синергии ИТ и ИБ и четком разделении ответственности при общем понимании зоны риска.

С учетом подразделения на упомянутые два блока грамотный процесс управления уязвимостями состоит из нескольких этапов:

1. Инвентаризация активов, то есть постоянная актуализация данных о них. Необходимо понимание, где находятся те или иные активы. Если сегодня появился какой-либо узел, а о нем узнают через месяц, ни о какой безопасности не может быть и речи. Именно этот узел может позволить злоумышленникам проникнуть в инфраструктуру.

2. Классификация и оценка активов. Для наглядности рассмотрим пример. В решении, которое стоит на периметре и в тестовой лаборатории, обнаружена уязвимость. Где нам ее устранять в первую очередь? Скорее всего, на периметре, потому что именно этой брешью, по всей вероятности, попытаются воспользоваться злоумышленники для дальнейшего доступа в инфраструктуру. И это очень простой пример из двух узлов, а на практике их обычно больше на порядки. В большой инфраструктуре необходимо проводить приоритизацию всех этих точек.

3. Выявление уязвимостей. Один из ключевых процессов — это постоянное выявление уязвимостей в ИТ-инфраструктуре. Запускать такие задачи время от времени мало: необходимо сделать их регулярными и системными. Одновременно с этим требуется заключить соглашение с ИТ-департаментом, где заранее оговариваются сроки устранения найденных уязвимостей. Такой подход позволяет оперативно реагировать на потенциальные угрозы безопасности.

4. Сортировка и приоритизация уязвимостей. После выявления уязвимостей важно правильно расставить приоритеты. Как и активы, уязвимости бывают разными по критичности. Одна и та же проблема на внешнем периметре может представлять серьезную угрозу или, наоборот, не заключать в себе особой опасности — все зависит от наличия эксплойтов, контекста и характера системы. Критическая уязвимость в периметре требует немедленного внимания, тогда как аналогичная брешь в тестовой лаборатории может подождать. Поэтому необходимо оценивать риски и потенциальные последствия каждой уязвимости, чтобы сосредоточиться в первую очередь на тех, что действительно представляют угрозу.

5. Устранение или компенсация уязвимостей. На этом этапе основное внимание уделяется своевременному закрытию уязвимостей или их компенсации, если устранение невозможно. Здесь важнее всего соблюдать согласованные сроки. Также необходимо фиксировать все действия в системе учета, чтобы получить прозрачную историю отработки каждой уязвимости.

6. Проверка устранения уязвимостей. Чтобы процесс постоянно работал, необходимы измеримые метрики: это может быть, например, время жизни уязвимости на периметре или на критичных активах. Ориентируясь на эти метрики, нужно совершенствовать процесс.

Таким образом, использование современных систем управления уязвимостями позволяет перейти от точечных реакций к выстроенному процессу. Это повышает прозрачность, снижает нагрузку на специалистов и существенно увеличивает устойчивость организации к реальным киберугрозам, что критически важно в современных реалиях.

Инструменты для построения идеального процесса

В управлении уязвимостями принципиально важно разделять работу с внутренним и внешним периметром. Как уже было сказано выше, этапы процесса — идентификация, приоритизация, устранение, контроль — в обоих случаях одни и те же, но природа угроз, инструменты и методики отличаются. Внутренний периметр — это активы внутри инфраструктуры, где главную роль играет патч-менеджмент и контроль исполнения политики. Внешний — это публичная поверхность, и здесь в фокусе — непрерывный мониторинг, минимизация «цифровой видимости» и защита от внешних рисков. Выстроить эффективную работу на обоих периметрах помогают специализированные решения классов VM (VulnerabilityManagement) и EASM.

В качестве примера эффективного решения для внешнего контура можно привести MaxPatrol VM. Это решение находит все активы в сети, позволяет расставить приоритеты и сформировать полную и актуальную картину ИТ-инфраструктуры. Система учитывает значимость активов для бизнеса, приоритезирует их по важности, отслеживает наличие уязвимостей на ключевых узлах. Кроме того, MaxPatrol VM помогает задать правила обработки уязвимостей и разграничить зоны ответственности: обычные уязвимости устраняются ИТ-отделом в рамках политик, а с особо опасными уже работают специалисты по ИБ. Решение также дает возможность контролировать устранение уязвимостей в реальном времени и получать информацию о трендовых угрозах. Например, при появлении новых активов система выделяет их автоматически. Это позволяет ИБ-специалисту минимизировать рутинную ручную работу и сфокусироваться на более значимых задачах.

Если внутренний периметр контролируется средствами VM, то защищать внешний помогают платформы EASM (ExternalAttackSurfaceManagement). По данным исследования Solar «Ключевые уязвимости информационных систем российских компаний в 2024 году», 91% компаний с численностью более 200 человек имеют уязвимости на внешнем периметре. Среди самых частых проблем — слабые пароли (38%) и устаревшее ПО (32%). Решения класса EASM, такие как ScanFactory, позволяют управлять внешней поверхностью атаки по полному циклу:

• Поиск и идентификация цифровых активов
• Приоритизация активов по значимости для бизнеса
• Оценка уязвимостей на основе известных баз
• Приоритизация рисков с учетом вероятности эксплуатации
• Устранение уязвимостей через патчи, настройку, изменение конфигураций
• Постоянный мониторинг с отчетностью и контролем динамики угроз

ScanFactory использует OSINT-источники (Netlas, ZoomEye, Shodan, Fofa), 19 open-source сканеров (включая Nuclei, nmap, OWASP ZAP), DUST-сканер, агрегирует данные из CVEDetails, Vulners и БДУ ФСТЭК. Управление возможно через API, развертывание — в собственном облаке. Угрозы выводятся с разделением на критические, высокие и средние. На дашборде также отображается уровень защищенности, динамику активов, список самых активных уязвимостей и другую необходимую информацию. Такой подход позволяет оперативно выявлять теневые зоны и реагировать на риски до того, как ими воспользуется злоумышленник.

Таким образом, идеальный процесс управления уязвимостями строится на согласованной работе двух направлений, охватывающих внешний и внутренний контур. При этом необходимо четко разделять зоны ответственности: ИБ отвечает за выявление, оценку и контроль, ИТ — за оперативное устранение. Только так достигается устойчивый уровень защиты обоих периметров, вместе взятых.

И в заключение еще раз подчеркну, что идеальный процесс — это синергия управления уязвимостями на внешнем и внутреннем периметре при выстроенном взаимодействии подразделений ИБ и ИТ. При этом важно помнить, что управление уязвимостями — только вершина айсберга, а выстраивание киберустойчивости включает также управление инцидентами, контроль доступа, защиту каналов связи, резервное копирование, обучение сотрудников и многое другое. Путь к ее достижению — это масштабный и ресурсоемкий процесс, который проще пройти в сопровождении экспертов, которые владеют методологиями и необходимой экспертизой для его построения.

Авторы: Эксперты: Антон Царев, старший инженер по информационной безопасности компании «Мобиус Технологии», и Юлия Муртазина, аналитик SOC, «Мобиус Технологии».