Пропустить нельзя исправить
Что включает в себя хорошая политика управления уязвимостями?
Управление уязвимостями (УУ) и исправление уязвимостей (ИУ) часто путают даже ИБ-директора со стажем, что уж говорить о владельцах бизнеса. Хотя эти процессы и дополняют друг друга, но они разные. Как понять, что они собой представляют, чем отличаются и как работают вместе?
Неэффективное снижение рисков — результат неспособности различать УУ и ИУ. Исправления и патчи могут устранить известные уязвимости на текущий момент, но они не устраняют проблемы, присущие цифровой экосистеме организации, такие как проблема ошибок нулевого дня. Без комплексного УУ скрытые уязвимости могут остаться без внимания. Существуют определенные уязвимости, для которых может не быть доступных исправлений, и для смягчения угрозы, создаваемой этим воздействием, могут потребоваться другие шаги. Помимо поддержания ИБ-инфраструктуры в актуальном состоянии, внедрение сильной политики управления уязвимостями имеет большое значение для снижения потенциальных финансовых, репутационных и нормативных рисков.
Как построить в компании корректный процесс УУ?
Корректный процесс — это непрерывный цикл обнаружения, оценки и исправления для устранения слабых мест, которыми могут воспользоваться злоумышленники.
Обнаружение: идентификация активов, систем, приложений и сетей в среде организации, активное сканирование с использованием автоматизированных инструментов, мониторинг уязвимостей.
Оценка: определение серьезности влияния на организацию.
Расстановка приоритетов: ранжирование уязвимостей на основе возможности использования, потенциального воздействия и критичности затронутых систем.
Исправление: применение патчей, компенсирующих мер, внесение изменений в конфигурацию.
Мониторинг и анализ: непрерывный процесс, позволяет обеспечить быстрое выявление и устранение новых уязвимостей, оценить эффективность существующих средств контроля и процессов.
Как часто следует сканировать?
Существует несколько международных стандартов, которые требуют более частого сканирования уязвимостей:
ISO 27001 — ежеквартальное сканирования внешних и внутренних уязвимостей.
PCI DSS (стандарт безопасности данных индустрии платежных карт) — ежемесячное сканирование уязвимостей со стороны поставщика средств безопасности.
NIST (Национальный институт стандартов и технологий) — ежеквартальное сканирование.
Я встречал молодые компании с только зарождающейся еще службой ИБ и ИБ-процессами, которые были уверены, что сканирования раз в несколько лет будет достаточно. Однако с учетом казахстанского ландшафта киберугроз, роста разработки внутри и активного внедрения оупенсорс-средств разработки необходимо проводить сканирование хотя бы раз в месяц.
Что еще дает компании последовательное управление уязвимостями?
Для ИБ-служб: обосновать другие инициативы и инвестиции в ИБ для ИБ.
Для команд разработки: осознать уровень риска и нести ответственность за поддержание качества кода и снижения безопасной разработки.
Для ИТ-подразделений: приоритизировать исправления, найти приоритетные уязвимости, которые могут поставить под угрозу критически важные системы, понять кратчайшие сроки для снижения рисков.
Компании могут годами игнорировать критические пробелы в безопасности без постоянной оценки и мониторинга уязвимостей, что делает их уязвимыми для эксплуатации. Процесс УУ позволяет искоренить в компании ложное чувство безопасности, которое возникает при разовом исправлении.
