Что может помешать организации исправить уязвимости ПО вовремя
85% казахстанских компаний полагаются на стандартные инструменты сканирования сетевых уязвимостей, а применение других профилактических мер почти не используется
Одной из ключевых особенностей атак 2023 года на казахстанские ресурсы стало использование уязвимостей в программном обеспечении (ПО). Если бы речь шла о каких-то новых ошибках, обнаруженных хакерами, но, увы, это старые проблемы в ПО, используемом несколько лет и не обновляемом. Неустраненные уязвимости вкупе с ростом векторов атак делают шансы организаций опережать возникающие угрозы минимальными без управления уязвимостями.
Что может помешать вашей организации исправить уязвимости вовремя?
- Организационные барьеры. Рассогласование целей безопасности с бизнес-целями = отсутствие заинтересованности руководства.
- Бюджетные ограничения. ИТ-безопасность часто не рассматривается как функция, приносящая доход, и поэтому недофинансируется.
- Сохраняющаяся на рынке проблема нехватки ИБ-специалистов выливается в отсутствие экспертизы в этой области.
Казахстан не является уникальным примером «расслабленного» подхода к теме уязвимостей в ПО. Отчет одного из крупных глобальных операторов ИБ-мониторинга (ОЦИБ) гласит, что почти четверть компаний столкнулись за 2023 год с нарушениями безопасности из-за неустраненных уязвимостей. При этом в основном (85%) компаний полагаются на стандартные инструменты сканирования сетевых уязвимостей, а применение других профилактических мер почти не используется. Чуть больше половины только задумываются о том, чтобы работать с приоритетами уязвимостей на базе оценки реального риска. Только 11% удается развернуть исправления в день выхода патча, а половина создает значительное окно риска (от недели и до бесконечности).
Где искать уязвимости в инфраструктуре?
- Устройства IoT/OT.
- Облачные активы.
- Приложения и исходный код.
- Устройства сетевой инфраструктуры.
Факторы, которые определяют ваш (или вашего CISO) выбор при оценке подхода по управлению уязвимостями, могут повлиять на эффективность отражения угроз.
Что рекомендуется учитывать при выборе решения или провайдера по управлению уязвимостями?
- Точность обнаружения.
- Широту покрытия инфраструктуры.
- Простоту развертывания и использования решения.
- Качество и вид аналитической отчетности.
- Стоимость владения.
- Степень автоматизации процесса.
К сожалению, одного набора решений (и даже делегирования ответственности оператору услуг ИБ) недостаточно, чтобы в полной мере укрепить стратегию управления уязвимостями и повысить киберустойчивость. Крайне важно расставить приоритеты в управлении уязвимостями, и вот лучшие практики, которые должны лечь в основу системы внутри вашей организации:
- Создавайте зрелую систему, которая не только оценивает риски, но и определяет приоритетность уязвимостей на основе конкретного риска.
- Расставьте приоритеты в устранении рисков с учетом серьезности уязвимостей, критичности активов и потенциального воздействия на бизнес.
- Регулярное сканирование является ключом к обнаружению новых уязвимостей, а своевременное исправление минимизирует окна возможностей злоумышленников.
- Надежный подход к управлению уязвимостями должен включать комплексное сканирование ИТ-инфраструктуры, охватывающее все активы – от десктопов и серверов до облачных активов и устройств IoT.
- Инвестируйте в комплексные решения по управлению уязвимостями, обеспечивающие всесторонний охват – от обнаружения активов, оценки уязвимостей и сканирования до управления рисками, управления исправлениями, отчетности и аналитики.
