СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Главное
CISOCLUB
7 ноября
#Интервью #ИБ#ИИ#Инфра

Эволюция подхода к управлению уязвимостями

Эволюция подхода к управлению уязвимостями

В последние годы внимание к теме управления уязвимостями (Vulnerability Management) растет не только среди специалистов по информационной безопасности, но и на уровне руководителей компаний. Однако, по мере усложнения IT-инфраструктур и роста числа потенциальных точек входа, классический подход к управлению уязвимостями — периодическое сканирование и исправление найденных проблем — перестает быть достаточным. Сегодня организациям важно видеть картину целиком: не только фиксировать уязвимости ПО, но и понимать, каким образом злоумышленники могут использовать совокупность уязвимостей ПО, мисконфигураций и избыточных доступов для продвижения внутри сети и реализации недопустимых событий. Именно из этого понимания вырос новый подход к управлению всеми источниками угроз внутри инфраструктуры — exposure management — управление экспозициями.

Редакция CISOCLUB побеседовала с Александром Леоновым, ведущим экспертом PT Expert Security Center компании Positive Technologies и автором телеграм-канала «Управление Уязвимостями и прочее», о том, как в 2025 году трансформируется подход российских организаций к управлению уязвимостями, что стоит за термином «управление экспозициями» и какую роль в этом процессе начинают играть превентивное выявление потенциальных путей атак, искусственный интеллект и регуляторные инициативы.

Как изменился подход российских организаций к процессу управления уязвимостями в 2025 году?

Подход российских организаций к процессу управления уязвимостями становится более системным. Постепенно приходит понимание, что периодически запускать сканы и скидывать огромные отчёты с уязвимостями в IT — это не то, что может повысить реальную защищенность организации. Необходимо грамотно выстраивать непрерывные подпроцессы работы с уязвимостями и активами:

  • заводить и поддерживать актуальную учетную базу активов;
  • регулярно проводить аудит и поиск теневых ресурсов;
  • поддерживать выявление уязвимостей на этих активах;
  • проводить оценку критичности найденных уязвимостей;
  • заводить и отслеживать задачи на устранение уязвимостей в соответствии с SLA.

Безусловно, нельзя забывать и о том, что средства детектирования уязвимостей также различаются и имеют свои ограничения. Необходимо отслеживать активы (типы хостов и ПО), с которыми средства детектирования уязвимостей не умеют адекватно работать, и находить способы, как обеспечить детектирование уязвимостей и для них.

Также процесс управления уязвимостями имеет тенденцию расширяться и охватывать не только уязвимости программного обеспечения, обычно исправляемые установкой обновлений, но и другие проблемы информационной безопасности, которые могут эксплуатировать злоумышленники, такие как мисконфигурации ПО, избыточные привилегии и сетевые доступы. Такие «уязвимости в широком смысле» на Западе сейчас принято называть термином exposures, то есть дословно экспозициями. Расширенное «управление уязвимостями» всё чаще называют exposure management, то есть управлением экспозициями. Иногда к названию решений добавляют слова Continuous и Threat, делая акцент на непрерывности процессов и учёте актуальных киберугроз.

Примечание редактора:

Методология непрерывного управления экспозициями с учетом угроз (Continuous Threat Exposure Management, CTEM) — это подход к кибербезопасности, предложенный Gartner в 2022 году, направленный на проактивное выявление, оценку и устранение источников угроз (экспозиций) в инфраструктуре организации. Согласно исследованиям, 71% организаций уже признают реальную ценность CTEM. При этом 60% компаний либо находятся в процессе внедрения этой методологии, либо планируют начать её использование в ближайшее время. Прогнозируется, что к 2026 году организации, применяющие проактивный подход к управлению киберустойчивостью на основе CTEM, смогут сократить количество успешных кибератак в три раза.

По структуре процессы управления экспозициями и управления уязвимостями совпадают?

В целом структура та же. Главное различие в том, что, поскольку управление экспозициями подразумевает детектирование и устранение всех проблем информационной безопасности, которыми может воспользоваться злоумышленник, то это влечет за собой трудно измеримый объем задач, а по мере увеличения инфраструктуры он вырастает до огромных масштабов. Здесь возникает критически важный вопрос эффективной расстановки приоритетов — что нужно устранять в первую очередь. И эта задача решается за счет возможности полноценного моделирования путей атак. Настоящие решения по управлению экспозициями (а не называющие себя так ради хайпа) позволяют моделировать действия атакующего: как злоумышленник может передвигаться внутри инфраструктуры при атаке на критически важные активы компании, какие именно экспозиции он может использовать и как с наименьшими усилиями их устранить. На основе такого превентивного выявления потенциальных путей атаки и оценки их опасности, появляется возможность эффективно приоритизировать задачи на устранение тех источников угроз, которые лишают хакеров возможности дойти до цели.

Моделирование действий атакующего — это разве не то же самое, что пентест?

Не совсем. Ручной пентест охватывает только конкретные реализованные сценарии, отчёт по которым демонстрируется заказчику. Программные средства, реализующие автоматический пентест, показывают больше и их можно часто запускать, но такие решения работают в режиме черного ящика, не знают ничего об инфраструктуре, не могут анализировать все источники угроз, действуют «инвазивно» и требуют контроля со стороны оператора по пресечению недопустимых действий. Решения класса exposure management выполняют автоматическое моделирование на основе всей информации об инфраструктуре, формируя десятки тысяч потенциальных путей атаки и оценивая уровень опасности каждого варианта для приоритетного устранения. При этом не создаётся нагрузки на инфраструктуру, так как моделирование происходит на «цифровой копии» данных об активах, их связности и недостатках, полученных в результате сканирования.

Если правильная приоритизация уязвимостей теперь должна строиться на моделировании действий атакующего, насколько актуальными остаются традиционные способы приоритизации уязвимостей и выделение «трендовых уязвимостей»?

Конечно, exposure management пока удел наиболее зрелых компаний. Остаётся множество организаций, где всё ещё востребованы базовые сканеры уязвимостей, реализующие только детектирование, и более простые решения Vulnerability Management, которые позволяют проводить инвентаризацию всей инфраструктуры и выстраивать процесс устранения уязвимостей совместно с ИТ, но учитывают уязвимости только в контексте конкретных хостов, без построения цепочек атак.

Что касается трендовых уязвимостей, как мне кажется, все VM-вендоры должны ввести списки таких уязвимостей и публиковать сообщения о них. В этом сплошная польза и для клиентов, и для самих VM-вендоров.

  • Самое очевидное — сообщения о трендовых уязвимостях помогают клиентам приоритизированно устранять наиболее критичные и эксплуатабельные уязвимости.
  • Публикация таких сообщений показывает адекватность VM-вендора. Что в компании есть люди, которые отслеживают «VM-ное инфополе» и понимают, через какие уязвимости злоумышленники ломают компании и как именно. Если потребуется, они могут инициировать создание недостающих правил детектирования.
  • Наконец, это даёт PR/маркетингу VM-вендора актуальный контент, полезный для потенциальных клиентов.

Но если VM-вендор не хочет ретранслировать чужие новости и обновления CISA KEV, необходимо выстраивать независимый процесс непрерывной переоценки уязвимостей: «достаточно ли текущих данных для отнесения конкретной уязвимости к трендовым»? Здесь широкое поле для работы экспертов и AI-инструментов.

Как эти расширенные практики управления уязвимостями (exposure management) соотносятся с требованиями со стороны регуляторов?

Я бы сказал, что сейчас нет общих и обязательных регуляторных требований относительно управления уязвимостями. Текущие требования скорее констатируют, что выявлением и устранением уязвимостей необходимо заниматься. А детали скорее определяются соображениями обеспечения реальной безопасности.

Наиболее детальным методическим документом по управлению уязвимостями остаётся Руководство по организации процесса управления уязвимостями в органе (организации) ФСТЭК России 2023 года. Руководство описывает общую структуру процесса и может использоваться для построения процесса управления экспозициями при условии расширенного трактования термина «уязвимость» и корректировки описания операции «Определение влияния на информационные системы» (для учёта путей атаки). Обновленная версия Методики оценки уровня критичности уязвимостей программных, программно-аппаратных средств от 30 июня 2025 г. также может при достаточной фантазии быть применена и к другим типам экспозиций. Так что я не вижу каких-то ограничений: существующие регуляторные требования вполне адекватны и при желании расширяемы.

С одной стороны, такая ситуация с нормативными требованиями не препятствует созданию в организациях развитого процесса управления уязвимостями (экспозициями), но и не сказать, что стимулирует этот процесс.

Какие регуляторные требования могли бы повысить защищенность российских организаций и национальную безопасность?

Возможно, было бы правильно создать некоторое дополнительное регуляторное давление, хотя бы на организации, на которые распространяется 117-й приказ и для КИИ.

Например, можно было бы создать российский аналог CISA KEV. Как CISA ставит федеральным агентствам США четкие дедлайны по устранению конкретных особо критичных уязвимостей, эксплуатация которых была подтверждена, так и наши регуляторы могли бы ставить аналогичные дедлайны.

Для того, чтобы в эти сроки укладывались, в США используют систему, описанную в директиве CISA BOD 23-01. Она предусматривает:

  • еженедельное обнаружение активов в инфраструктуре;
  • циклические двухнедельные сканы активов на уязвимости;
  • оперативную передачу информации об активах, уязвимостях и процессе сканирования регулятору.

Это позволяет регулятору отслеживать актуальное состояние инфраструктуры органа/организации и оперативно проводить необходимые стимуляции.

Отдельная большая тема — репортинг уязвимостей. Ситуация, когда российские исследователи продолжают репортить найденные уязвимости вендорам из недружественных стран, не кажется нормальной. Следует перенимать международную практику и принимать меры, чтобы ценная информация об уязвимостях нулевого дня не утекала, а использовалась в интересах национальной безопасности. Централизация репортинга уязвимостей могла бы помочь: российский исследователь сдаёт найденную уязвимость не вендору, а российскому регулятору (ФСТЭК? НКЦКИ?), а регулятор уже принимает решение — следует ли сообщать об этой уязвимости вендору из недружественной страны или нет. Есть некоторые основания полагать, что в каком-то виде это может быть в скором времени реализовано.

Какие изменения в решениях по управлению уязвимостями (экспозициями) ждут нас в будущем?

Выглядит так, что дальнейшее развитие подобных решений лежит в автоматизации работы с использованием AI-инструментов и AI-агентов. После того как VM-решения развились в достаточной мере, что с их помощью действительно стало возможным выполнять детектирование, приоритизацию, заведение и отслеживание задач на устранение уязвимостей (а иногда и само устранение уязвимостей), у клиента возникает запрос: «Я столько всего МОГУ делать, но что мне СЛЕДУЕТ делать здесь и сейчас для того, чтобы обеспечить наилучшую безопасность организации? Дайте совет! А ещё лучше, проведите работы, по возможности, за меня. 😏»

Поэтому, AI-инструменты будут подсказывать, какие работы необходимо совершить для максимального повышения уровня защищенности, а AI-агенты выступать в роли дополнительной квалифицированной цифровой рабочей силы, закрывая некоторые конкретные задачи, такие как:

  • выявление и приоритизация рисков, связанных с сетевым периметром
  • оценка готовности к аудиту и составление отчётов
  • приоритизация рисков организации на основе анализа внешних угроз
  • тестирование и установка обновлений

Можно возразить, что автономные агенты, если дать им волю, порушат инфраструктуру организации. Так же, как и бездумное использование автопатчинга. Но в этом и состоит задача VM-вендора — реализовать защитные меры таким образом, чтобы нивелировать возможные риски.

CISOCLUB
Автор: CISOCLUB
Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Комментарии: