Выстраивание контроля уязвимостей с нуля: способы и рекомендации

05.05.2022

Оценка исходного состояния и внедрение новой технологии с наибольшей эффективностью.

Следите за актуальными новостями в нашем Telegram-канале

Уязвимости программ, ошибки конфигурации, неучтённые ИТ-активы есть в любой организации. Какие-то недочёты более опасны с точки зрения информационной безопасности, какие-то — менее, но в любом случае они открывают злоумышленникам путь во внутреннюю инфраструктуру компании. Сократить количество возможных и существующих киберугроз можно с помощью контроля уязвимостей (Vulnerability Management, VM). Это процесс, который состоит из регулярной инвентаризации инфраструктуры, сканирования, обработки результатов сканирования, построения плана устранения уязвимостей с их последующей ликвидацией и контроля за выполнением поиска и устранения брешей.

Для эффективного контроля уязвимостей в компании перед его запуском необходимо выполнить ряд подготовительных этапов: провести оценку ИТ-инфраструктуры, определить текущие ИБ-процессы, определиться с кругом лиц, занимающихся управлением и т.д. Подробнее рассмотрим часто возникающие вопросы и сам процесс внедрения.

 

Предварительный анализ

Запустить VM сразу же после установки необходимых компонентов не получится – для эффективной, а не формальной работы системы потребуется провести подготовительную работу. Начать стоит с оценки уже существующих ИБ-процессов, анализа подготовки персонала, наличия инструментов и способов сканирования. Попытка пренебречь этими подготовительными шагами приведет к тому, что VM и уязвимости будут существовать отдельно друг от друга.

Оценивая процессы ИБ, стоит ответить на следующие вопросы:

  • Есть ли сейчас процесс контроля всех ИТ-активов компании и насколько он эффективен?
  • Есть ли сейчас процесс поиска уязвимостей в ПО, насколько он регулярен и эффективен?
  • Есть ли сейчас процесс устранения уязвимостей, насколько он регулярен и эффективен?
  • Есть ли во внутренней ИБ-документации описание контроля уязвимостей и все ли с этими документами ознакомлены?

Честный ответ на перечисленные вопросы позволит дать реалистичную оценку положению компании и внедрить такой процесс контроля, который сведет к минимуму количество уязвимостей и ошибок. К примеру, у предприятия уже присутствует инструмент контроля, однако нет специалистов, способных им эффективно управляться либо, напротив, специалисты есть, но сам инструмент устарел и не соответствует актуальным требованиям отрасли. В таких случаях, хотя формально ответ на вопрос о наличии контроля уязвимостей положительный, на практике значительная часть ИТ-ресурсов может не попадать в поле зрения сканера или результаты сканирования могут трактоваться некорректно.

Ответы на указанные выше вопросы формируются в виде отчета, наглядно отражающего принцип работы с процессами в компании и недостатки, присутствующие в них. Вооружившись таким подспорьем, можно приступать к выбору инструмента сканирования.

Выбор инструмента сканирования

Рынок предлагает различные варианты – от самообслуживания путем продажи сканера, до экспертного сервиса. Сканеры могут размещаться в облаке или на периметре компании, мониторить хосты с помощью агентов или без них, а также использовать разные источники данных для пополнения своих баз уязвимостей.

На этом этапе стоит ответить на следующие вопросы:

  • Как построена ИТ-инфраструктура организации и насколько она специфична?
  • Есть ли региональные особенности в работе организации?
  • Много ли удалённых хостов?
  • Есть ли штатные специалисты для обслуживания сканера?
  • Есть ли финансовые резервы для закупки собственного ПО?
  • Кто и как будет осуществлять работы по запуску сканирования и обрабатывать полученные результаты?

 

Оценка и формирование процессов взаимодействия ИБ- и ИТ-команд

Для эффективной работы необходимо грамотно выстраивать процессы между двумя службами, несущими на себе все бремя ответственности за безопасность компании – ИТ-командой, устраняющей уязвимости, и ИБ-командой, обнаруживающей их. В небольших компаниях эти обязанности могут и вовсе лежать на плечах одного отдела или даже сотрудника. Независимо от размера команды, в результате ее работы должен быть сформирован согласованный и синхронный процесс устранения уязвимостей. Стоит помнить, что основной причиной проблемного внедрения является несработанность ответственных команд, а также отсутствие четкой системы шагов и сроков исполнения – при этом процесс выработки удобной и эффективной для всех сторон системы может занять год и более.

 

Внедрение процесса контроля уязвимостей

Оценив эффективность и наличие процессов, определившись с подходящим способом организации контроля уязвимостей и инструментом сканирования, а также регламентировав взаимодействие между командами, можно приступать ко внедрению контроля уязвимостей. Здесь можно дать такой совет: не стоит сразу загружать этот процесс всеми функциональными модулями, доступными в инструментах сканирования. Если в организации не было постоянного мониторинга, то, скорее всего, ИБ- и ИТ-команды испытают сложности в коммуникации. Это может привести к конфликтам и несоблюдению KPI и SLA. Лучше внедрять VM постепенно. Можно проводить полный цикл контроля уязвимостей (инвентаризация, сканирование, обработка, контроль) с меньшими темпами, например сканируя всю инфраструктуру раз в квартал, а критические для бизнеса сегменты — раз в месяц. Где-то через год ваши команды смогут «сработаться», найти и устранить основные уязвимости, понять явные недостатки своих процессов и предоставить план по их устранению. Впоследствии это увеличит скорость и эффективность контроля уязвимостей. Дополнительно можно привлекать внешних экспертов, которые помогут значительно сократить рутинную работу для штатных сотрудников компании. Например, сервис-провайдера можно привлекать к проведению инвентаризации и сканирования, к обработке результатов. Сервисный подход также поможет руководителям планировать работы и следить за ходом их выполнения. Так, например, если из отчёта провайдера видно, что найденные при предыдущем сканировании уязвимости так и не закрыты, руководитель, посмотрев SLA своих сотрудников, поймёт, что либо ИБ-отдел не успевает передавать данные о сканировании, либо ИТ — исправлять выявленные ошибки.

 

Продукты для внедрения

Комплексные продукты могут принять на себя часть нагрузки, обычно лежащей на специалистах ИБ и ИТ-команд. К таким универсальным решениям относится, к примеру, система MaxPatrol 8, предназначеная для обеспечения контроля защищенности и соответствия стандартам безопасности информационных систем. В основе MaxPatrol 8 механизмы тестирования на проникновение, системных проверок и контроля соответствия стандартам. Это позволяет получать объективную оценку состояния защищенности IТ-инфраструктуры в целом, а также отдельных подразделений, узлов и приложений, что необходимо для своевременного обнаружения уязвимостей и предотвращения атак с их использованием.

Провести бесплатный аудит, выявляющий потребности в доработке или созданию системы контроля уязвимостей, можно в нашей компании. Обратиться за консультацией можно через форму обратной связи на сайте или связавшись с нами через отдел продаж.

Другие новости

Компьютеры для предприятий: типы и ассортимент

Обзорная статья о том, какие виды компьютеров лучше подойдут для каких предприятий, в чем их практически важные отличия и какие производители доступны на рынке сейчас.

21.09.2023

Значимость системной интеграции для современного бизнеса

Рассматриваем системную интеграцию как неотъемлемый инструмент для повышения эффективности и устранения рисков бизнеса в современной России

10.07.2023

Телеком-оборудование: просто о типах и видах

Понятным языком говорим о назначении свичей, коммутаторов и других “связующих” элементов телеком-оборудования . Вы узнаете, какие типы оборудования лучше использовать для разных задач и как они работают на разных уровнях модели OSI

15.06.2023

Объект под контролем: гайд по подбору видеонаблюдения

Все о видеонаблюдении, его назначении, разновидностях и особенностях, которые стоит учитывать при выборе решения

28.03.2023

Как выбрать подходящее устройство HP LaserJet для офиса

Обзор принтеров и МФУ HP LaserJet для офисной печати. Выберите устройство в зависимости от нагрузки и функционала.

22.03.2023

Назад во времени: что такое бэкап и зачем он нужен

Разбираемся с понятием, выясняем, как и для чего применяется резервное копирование, какие виды бэкапов существуют и что стоит учесть при построении бэкап-системы

07.03.2023

Российский рынок серверов в стазисе

Эксперты отмечают уменьшение объемов рынка, несмотря на высокий потребительский спрос. В чем причины этого явления и чего стоит ожидать в перспективе ближайших лет?

22.02.2023

5 главных трендов в поставках ИТ-решений: версия 2023 года

Проанализировав самые заметные тенденции на рынке ИТ, мы составили список прогнозов - что из этого оправдается в ближайшие несколько лет, а что останется временным явлением покажет время, но учесть их стоит уже сейчас.

17.02.2023

Чип и ретейл: как обстоят дела с процессорами?

Стоит ли ожидать поставок процессоров Intel в страну, на каких условиях и в каких объемах – разбираемся вместе.

13.02.2023

Обратная связь