С каждым годом компании все больше уделяют внимание информационной безопасности. При этом для любой организации, вне зависимости от сферы деятельности и масштаба, главной задачей остается получение прибыли. Сама по себе информационная безопасность не приносит прибыль, а лишь снижает риски, связанные с прямыми финансовыми и репутационными потерями, защищает от привлечения к административной ответственности и остановки операционной деятельности. Именно поэтому реализация мер ИБ зачастую осуществляется в условиях ограниченных ресурсов. Практическими рекомендациями по управлению уязвимостями поделился с читателями Анатолий Широков, старший аналитик отдела консалтинга и аудита ИБ STEP LOGIC.
Для управления уязвимостями при ограниченных ресурсах компания может применять разные подходы, отличные по степени затрат, сложности реализации и эффективности. Но первый вопрос, на который необходимо ответить – какие уязвимости следует устранять? Закрытие вообще всех уязвимостей рассматривать нецелесообразно.

Рисунок 1. Этапы выявления уязвимостей
1. Подготовительный этап. Прописываем процедуры
В первую очередь эксперты нашей компании рекомендуют клиентам задокументировать процедуру управления уязвимостями: определить подход к их выявлению, анализу и установить порядок устранения.
Tip 1. Здесь вскрывается первая проблема. Наш опыт аудита безопасности информационных систем показывает, что нормативные документы в компаниях описывают лишь основные процедуры. На деле же информационная безопасность включает намного больший объем взаимосвязанных процессов, что важно учитывать при описании процедур. Регламент управления уязвимостями должен быть логически связан и отсылаться на такие документы, как порядок создания ПО и АС, обновления ПО, оценки рисков. Корректно задокументированные порядки сократят трудозатраты новых сотрудников на погружение в процесс, а также позволят понимать всем работникам какая информация должна быть собрана и предоставлена на каждом этапе.
2. Выявляем уязвимости
На втором этапе мы советуем провести инвентаризацию активов компании. Это необходимо, чтобы процесс выявления уязвимостей покрывал все интересующие активы, а также исключал уязвимости, неактуальные в рассматриваемой инфраструктуре, на которые не следует тратить ресурсы.
Tip 2. Для этого важно настроить взаимодействие специалистов подразделений ИТ и ИБ, чтобы они своевременно оповещали друг друга об изменениях, которые происходят в сети. Лучшим решением будет провести первоначальное наполнение базы активов двумя отделами, а затем поддерживать ее в актуальном состоянии. В случае, если нет возможности провести полную инвентаризацию, то необходимо хотя бы определить основные типы активов, которые есть в компании.
На этапе выявления уязвимостей специалист имеет в распоряжении несколько источников.

Внешние общедоступные источники информации – самые дешевые и сложные в реализации. С их помощью анализируем каждую уязвимость с точки зрения критичности, актуальности и применимости.

Примеры баз данных уязвимостей:

национальная база данных уязвимостей от NIST;база данных общеизвестных уязвимостей ИБ от MITRE;список уязвимостей от ФСТЭК;

каталог известных уязвимостей от CISA.

Отчеты о внутреннем и внешнем сканировании уязвимостей. Данный подход является оптимальным. На рынке представлено достаточное количество решений.
Результаты тестов на проникновение и анализ защищенности – вариант самый дорогой и удобный. Он подходит крупным компаниям, которые имеют сложную или распределенную инфраструктуру.

Tip 3. Стоит помнить, что выявление уязвимостей – это процесс, а значит его необходимо регулярно обновлять и адаптировать к угрозам и методам атак. Для этого следует выявлять уязвимости на периодической основе. В зависимости от наличия ресурсов в компании она может применять только один или несколько подходов одновременно. Например, если нет временных и человеческих ресурсов, то подход с ежегодным тестом на проникновение является оптимальным вариантом, не смотря на стоимость. Если наоборот нет финансовых ресурсов, а есть остальные, то можно приобрести сканер уязвимостей на критичные активы и использовать его не реже одного раза в неделю. Финальное решение в выборе способа выявления уязвимостей остается за компанией.
После выявления актуальных уязвимостей их анализируют и ранжируют по уровню критичности. Шкалу компания составляет самостоятельно. Оптимальным решением при ограниченных ресурсах будет определять уровень критичности уязвимости, основываясь на оценке CVSS по актуальной версии и критичности актива. Для критичных уязвимостей рекомендуется сразу подготовить их карточки с общим описанием, областью действия уязвимости и указанием ответственного за нее работника.
Tip 4. Важно понимать, что без четкой шкалы критичности ресурсы компании будут неправильно распределены на устранение уязвимостей. В худшем случае можно упустить критичные для бизнеса уязвимости, в лучшем – потратить физические и эмоциональные ресурсы работников на устранение уязвимостей, которые можно было и принять. Для минимизации таких рисков следует автоматизировать ранжирование уязвимостей по настраиваемым критериям на специализированном ПО или хотя бы подготовить отдельную инструкцию по обработке уязвимостей для ответственных работников.
3. Определяем методы устранения
Следующим этапом является определение приоритетов и методов управления. К сожалению, не все уязвимости можно устранить раз и навсегда. Для некоторых из них необходимо определять методы их митигации (компенсирующие мероприятия), но подход к устранению будет одинаковым. В первую очередь должны обрабатываться все критичные уязвимости, а также те, которые компания определила приоритетными для устранения в ближайшие сроки. Каждую уязвимость мы рекомендуем обрабатывать отдельной заявкой, задачей или письмом. Важно также отметить, что процесс управления уязвимостей тесно связан с управлением рисками. Поэтому уязвимости, которые имеют средний и низкий уровень критичности, следует дополнительно анализировать в процессе управления рисками и устранять их.
Tip 5. Чаще всего устранение уязвимостей осуществляется путем обновления и изменения конфигурационных файлов. Однако такая процедура зачастую становится большой проблемой для компании, т.к. могут возникнуть ошибки в несовместимости обновленного актива с другими. Такие активы сложно патчить, есть практически в любой организации. Чтобы избежать нарушений в их работе, желательно проводить предварительное тестирование обновлений, однако это ресурсозатратное мероприятие. Если нет ресурсов или навыков для развертывания тестовой среды, необходимо хотя бы определить активы, обновление которых может осуществляться автоматически. Обычно это активы, не относящиеся к критичному уровню Mission Critical. Рекомендуем также определить профилактические окна для остальных активов, чтобы минимизировать риск нештатных ситуаций в рабочее время при установке обновлений. Идеальным вариантом при ограниченных ресурсах является формирование взаимозависимостей активов, используемых для планирования обновлений.
4. Контролируем результат
Контроль – последний этап в управлении уязвимостями. Без контроля все предыдущие шаги потеряют смысл – полученная и обработанная информация станет неактуальной. На этом этапе осуществляется повторная проверка устранения уязвимостей, протоколирование результатов, анализ сроков их устранения и поиск «узких мест» для улучшения процесса.
Tip 6. Далеко не всегда каждая уязвимость управляется и протоколируется отдельно: на практике идет обработка уязвимостей от отчета до отчета. Из-за этого контролировать ответственных, статус и сроки устранения сложно, а порой и невозможно. Также при таком сценарии теряется информация, которую можно использовать в будущем для совершенствования процесса. Для контроля настоятельно рекомендуется использовать системы таск-менеджмента, а при отсутствии таковых – составлять в почте отдельные письма для каждой критической уязвимости.
Управление уязвимостями – процесс, который должен поддерживаться в организации и включать в себя все описанные этапы. Он может быть нетривиальным для компаний, которые ранее не занимались этим самостоятельно. В таких случаях может быть экономически целесообразно обратиться к экспертам, которые проанализируют потребности, внедрят необходимое ПО и запустят данный процесс. Остается только поддерживать ИТ-активы в актуальном состоянии, анализировать выявляемые уязвимости и устранять их в соответствии с регламентом.