Positive Technologies вновь провела опрос среди экспертов по ИБ, чтобы выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских организациях и что изменилось в нем с 2020 года1. В последние месяцы отечественные компании оказались в эпицентре кибератак. Это в числе прочего влияет на то, как организации защищают свою инфраструктуру. С февраля 74% специалистов изменили свой подход к обновлению программного обеспечения: четверть опрошенных решили приостановить установку обновлений, а еще четверть увеличили сроки тестирования ПО.
Как показал опрос, компаниям пришлось пересмотреть выстроенный процесс обновления ПО. Лишь 11% участников исследования не внесли изменения в свой регламент. Радикально к вопросу закрытия уязвимостей подошли 26% опрошенных: они отключили обновления на всех узлах.
«Подход, при котором ПО инфраструктуры не обновляется, грозит накоплением новых уязвимостей, повышается риск взлома системы злоумышленниками, — отмечает Анастасия Зуева, старший менеджер по развитию и продвижению MaxPatrol VM, Positive Technologies. — Выбор сложный: обновлять ПО с риском получить вместе с исправлением недокументированные возможности2 или не обновлять и копить известные и неизвестные уязвимости. Мы считаем оптимальным решение, при котором компания может выделить ресурсы на тестирование поставляемых патчей. Так делают 30% опрошенных в ритейле, 38% телекоммуникационных компаний, 28% госучреждений, 29% IT-компаний, 28% финансовых организаций».
По результатам опроса, изменилась скорость устранения критически опасных брешей в ПО. Если в 2020 году 39% опрошенных успевали закрыть критически опасные уязвимости на приоритетных для компании активах за один-два дня, то в 2022 году за тот же период их успевают устранить 35% специалистов, а основная масса анкетируемых (40%) устраняет их в течение недели. Сохранилась общая картина по исправлению всех уязвимостей на активах: в основном компании устраняют их за месяц (39%) или за полгода (38%). В больших компаниях (от 3000 сотрудников) вырос показатель исправления критически опасных уязвимостей на важных активах: закрывать их за один-два дня в 2020 году успевали 26% опрошенных, а в 2022-м — 37%.
По данным исследования, в качестве главных запросов к VM-системам специалисты отмечают интеграцию с другими решениями для ИБ (62% ответивших), учет принятых компенсирующих мер (52%), поддержку сканирования отечественных ОС и ПО (51%) и уведомления от производителя о самых опасных уязвимостях (51%). При этом отток зарубежных вендоров из России увеличил долю использования свободного ПО3 (до 43%). Работа с решениями такого типа предполагает, что в компании уже есть специалисты высокого уровня, готовые доработать софт, интегрировать его в существующую инфраструктуру, а самое главное, понимающие, как его поддерживать. При этом важно помнить, что свободное ПО может перестать разрабатываться в любой момент и поддерживать его работу придется своими силами.
По сравнению с 2020 годом, в 2022 году выросло число компаний, использующих специализированное ПО для работы с уязвимостями (26% против 11%). При этом половина опрошенных используют российские коммерческие решения для управления уязвимостями (VM-решения), 18% специалистов применяют иностранные продукты, но планируют миграцию на отечественные, а 8% ответивших не собираются отказываться от зарубежных решений.
Около 70% специалистов ищут информацию о новых уязвимостях на новостных ресурсах, у 46% опрошенных основной источник информации — это БДУ ФСТЭК, 27% компаний пользуются Национальной базой данных уязвимостей США (NVD). Организации, независимо от размера, предпочитают использовать БДУ ФСТЭК вместо NVD. Только крупные компании (более 10 000 сотрудников) в равной степени пользуются как БДУ ФСТЭК, так и NVD (43% и 43% соответственно). На сообщения от вендора ориентируются 57% опрошенных из банковских организаций, 53% — из госкомпаний и 50% — из ритейла. Компаниям, которые не получают информацию непосредственно с продуктом из-за ограниченной функциональности решения или из-за приостановки обновлений, мы рекомендуем самостоятельно искать сведения об уязвимостях на сайтах вендоров.
Отвечая на вопрос о трудностях взаимодействия IT-подразделений и специалистов по ИБ, 27% респондентов сказали, что используют проактивный подход к устранению уязвимостей, при котором IT-подразделение компании регулярно устанавливает патчи или обновления ОС и ПО, не дожидаясь информации об уязвимостях от службы ИБ. Опрос показал, что чем больше компания, тем чаще она применяет этот подход. Около 28% специалистов действуют реактивно: IT-подразделение устанавливает патчи или обновления ОС и ПО после того, как служба ИБ предоставит информацию об обнаруженных уязвимостях и сформирует списки активов, ОС и ПО для реагирования. Автопатчинг используют 20% ответивших. В современных реалиях внедрять обновления без тестирований может быть вдвойне рискованнее: лучше доверить эту работу IT-отделу, специалисты которого могут протестировать ПО в защищенной среде, знают особенности поддержки текущей инфраструктуры и отслеживают загрузку сервисов.
«Так сложилось, что в российских компаниях отделы IT и ИБ не всегда идут навстречу друг другу. Служба ИБ хочет от IT-отдела закрытия уязвимостей, а перед департаментом IT стоят свои KPI по обслуживанию и поддержанию работоспособности организации, — комментирует Антон Исаев, ведущий специалист отдела развития и продвижения инженерно-технической экспертизы Positive Technologies. — Чтобы наладить их взаимодействие, в MaxPatrol VM была заложена новая концепция совместного выстраивания патч-менеджмента. Теперь IT-отдел сможет общаться со службой ИБ на своем языке, рассказывая об уже существующих у себя процессах обновления инфраструктуры. Специалисты по ИБ, в свою очередь, перестанут терзать департамент IT массовыми отчетами о найденных уязвимостях, а вместо этого смогут подсвечивать системы, выпадающие из процесса обновления, и договариваться о новых сроках планового патч-менеджмента».
По данным исследования, больше всего времени у специалистов уходит на анализ результатов сканирования (64%) и проверку устранения уязвимостей (47%). Также к трудоемким задачам 42% специалистов отнесли убеждение IT-отдела в необходимости закрыть уязвимости. Указанные трудности характерны как для больших, так и для малых компаний. Трудоемкость анализа результатов сканирования отметили 65% представителей крупного бизнеса, 69% среднего и 57% малого.
- В опросе участвовали специалисты по ИБ из IT-компаний (21%), госсектора (18%), кредитно-финансовых организаций (13%), промышленности (10%) и ТЭК (10%), ритейла (9%) и других отраслей экономики (19%).
- В 2022 году российские специалисты по ИБ столкнулись с тем, что ставить патчи не всегда безопасно: повысился риск внедрения в обновления программного обеспечения механизмов его блокировки и недокументированных возможностей (НДВ).
- Open-source-решения.