Positive Technologies, лидер в области результативной кибербезопасности и ведущий разработчик решений для ИБ, представила результаты анализа пилотных проектов по внедрению MaxPatrol VM, проведенных в государственных учреждениях, финансовых организациях, промышленных и других компаниях с начала 2022 года по февраль 2023 года1. В ходе исследования на одном пилотном проекте в среднем было выявлено более 700 трендовых уязвимостей2. Результаты внедрения показали, что в большинстве организаций допускаются ошибки в приоритизации активов, отсутствует регулярное обновление данных о них, а в трети компаний встречаются просроченные уязвимости.
MaxPatrol VM — система, обеспечивающая полный цикл управления уязвимостями: от выявления до контроля за их устранением. MaxPatrol VM доставляет информацию о трендовых уязвимостях за 12 часов, что позволяет оперативно реагировать на новые угрозы и минимизировать риски.
Одной из главных проблем, выявленных в ходе пилотных проектов, является недостаточная классификация активов, то есть их разделение по уровню значимости для организации — участника проекта. В 80% проектов имелись активы, уровень важности которых не был определен, — это повышает риск оставления важных систем без должной защиты. Эксперты Positive Technologies рекомендуют начать процесс управления уязвимостями с оценки и классификации активов, чтобы выделить наиболее значимые из них и обеспечить их приоритетную защиту.
«Около четверти компаний выстроили процесс приоритизации выявленных уязвимостей без учета важности активов, на которых они были обнаружены, — отмечает аналитик Positive Technologies Екатерина Семыкина. — В 76% проектов при формировании политик устранения не учитывался уровень опасности уязвимости, а в 59% не рассматривалось наличие публичного эксплойта. Мы советуем обращать внимание в числе прочего и на популярность уязвимости среди злоумышленников — ее трендовость. Часто популярность обретают недавно опубликованные уязвимости, для которых еще не выпущены обновления безопасности. Однако трендовыми могут быть и уязвимости прошлых лет — по нашим данным, они продолжают быть актуальными и активно применяются атакующими. Такие уязвимости стоит устранять в первую очередь, поскольку злоумышленники часто используют их в цепочках атак, и для многих из них существует публичный эксплойт». В ходе пилотных проектов по внедрению MaxPatrol VM трендовые уязвимости были обнаружены в 36% активов высокой значимости, в среднем четыре уязвимости на один актив. Чаще всего они встречались в компонентах Windows и других продуктах Microsoft».
Другой выявленной проблемой стала неактуальность информации об активах. В 75% компаний данные об активах не обновлялись вовремя — из-за этого пропускались сканирования и некоторые уязвимости не были обнаружены. Positive Technologies рекомендует регулярно проводить инвентаризацию активов, чтобы поддерживать информацию в актуальном состоянии и обеспечивать своевременное обнаружение и устранение уязвимостей.
Как показало исследование Positive Technologies, большинство компаний допускают ошибки в приоритизации уязвимостей, то есть не учитывают значимость активов и уровень опасности уязвимостей при формировании политик устранения. Это может привести к пропуску наиболее опасных для инфраструктуры уязвимостей.
Во всех исследованных организациях минимальные сроки устранения уязвимостей оказались больше, чем время, через которое злоумышленники начинают использовать уязвимости в атаках. Специалисты рекомендуют устанавливать минимальные сроки3 устранения уязвимостей на активах высокой значимости, особенно при обнаружении трендовых и критически опасных уязвимостей.
По результатам пилотных проектов были также выявлены серьезные проблемы, связанные с несвоевременным устранением недостатков в информационных системах. В каждой третьей компании нарушалась политика устранения уязвимостей, при этом около 30% активов высокой значимости содержали в среднем семь просроченных трендовых уязвимостей. По мнению экспертов, несоблюдение специалистами по информационной безопасности заданных сроков облегчает задачу злоумышленникам. Компаниям необходимо выделять ресурсы на своевременное устранение уязвимостей, сделать этот процесс регулярным и контролируемым.
Более подробная информация представлена в самом исследовании.
- Были исследованы результаты 30 пилотных проектов MaxPatrol VM. В выборку вошли проекты, в которых объем работ и состав пилотной зоны позволили получить объективные данные о процессах управления уязвимостями. В среднем в рамках одного проекта было проанализировано около 1500 активов.
- Трендовые уязвимости — это опасные уязвимости, которые активно используются в атаках или с высокой степенью вероятности будут применяться злоумышленниками в ближайшее время.
- ФСТЭК рекомендует устранять наиболее опасные уязвимости в течение 24 часов.