Управление уязвимостями
Эффективное управление уязвимостями Роль жизненного цикла в обеспечении безопасности систем - ICORE

Что представляет собой жизненный цикл управления уязвимостями?

Каждый месяц Национальный институт стандартов и технологий (NIST) добавляет в Национальную базу данных уязвимостей более 2 000 новых уязвимостей. Службам безопасности нет необходимости отслеживать все эти уязвимости, но им необходим способ выявления и устранения тех из них, которые представляют потенциальную угрозу для их систем. Именно для этого и предназначен жизненный цикл управления уязвимостями.

Жизненный цикл управления уязвимостями – это непрерывный процесс обнаружения, определения приоритетов и устранения уязвимостей в ИТ-активах компании.

Типичный раунд жизненного цикла состоит из пяти этапов:

  1. Инвентаризация активов и оценка уязвимостей. 
  2. Определение приоритетов уязвимостей.
  3. Устранение уязвимостей.
  4. Проверка и мониторинг.
  5. Отчетность и совершенствование.

Жизненный цикл управления уязвимостями позволяет организациям повысить уровень безопасности за счет более стратегического подхода к управлению уязвимостями. Вместо того чтобы реагировать на новые уязвимости по мере их появления, специалисты по безопасности активно ищут недостатки в своих системах. Организации могут выявить наиболее критичные уязвимости и установить защиту до того, как угрозы будут атакованы.

Почему важен жизненный цикл управления уязвимостями?

Уязвимость – это любое слабое место в структуре, функциях или реализации сети или актива, которое может быть использовано хакерами для нанесения ущерба компании.

Уязвимости могут возникать из-за фундаментальных недостатков в конструкции актива. Так было с печально известной уязвимостью Log4J, когда ошибки в кодировании популярной библиотеки Java позволили хакерам удаленно запускать вредоносное ПО на компьютерах жертв. Другие уязвимости возникают по вине человека, например неправильно сконфигурированный “ведро” облачного хранилища, в результате чего конфиденциальные данные попадают в открытый доступ в Интернет.

Каждая уязвимость представляет собой риск для организаций. По данным исследования IBM X-Force Threat Intelligence Index, эксплуатация уязвимостей является вторым по распространенности вектором кибератак. X-Force также установила, что количество новых уязвимостей растет с каждым годом: только в 2022 году их будет зарегистрировано 23 964.

В распоряжении хакеров появляется все больше уязвимостей. В ответ на это предприятия сделали управление уязвимостями одним из ключевых компонентов своей стратегии управления киберрисками. Жизненный цикл управления уязвимостями представляет собой формальную модель эффективной программы управления уязвимостями в условиях постоянно меняющегося ландшафта киберугроз.  Приняв этот жизненный цикл, организации могут получить следующие преимущества:

– Проактивное обнаружение и устранение уязвимостей: Предприятия часто не знают о своих уязвимостях до тех пор, пока хакеры не воспользуются ими. Жизненный цикл управления уязвимостями строится на основе непрерывного мониторинга, что позволяет службам безопасности находить уязвимости раньше, чем это сделают злоумышленники.

– Стратегическое распределение ресурсов: Ежегодно обнаруживаются десятки тысяч новых уязвимостей, но лишь некоторые из них имеют значение для организации. Жизненный цикл управления уязвимостями помогает предприятиям выявить наиболее критичные уязвимости в своих сетях и определить приоритетность устранения самых серьезных рисков.

– Более последовательный процесс управления уязвимостями: Жизненный цикл управления уязвимостями дает командам безопасности повторяющийся процесс от обнаружения уязвимостей до их устранения и далее. Более последовательный процесс дает более стабильные результаты и позволяет компаниям автоматизировать такие ключевые рабочие процессы, как инвентаризация активов, оценка уязвимостей и управление исправлениями.

Этапы жизненного цикла управления уязвимостями

Новые уязвимости могут появиться в сети в любой момент, поэтому жизненный цикл управления уязвимостями представляет собой непрерывный цикл, а не ряд отдельных событий. Каждый этап жизненного цикла непосредственно переходит в следующий. Один цикл обычно включает в себя следующие этапы:

Стадия 0: планирование и предварительная работа

Технически планирование и предварительная работа происходят до начала жизненного цикла управления уязвимостями, отсюда и обозначение “стадия 0”. На этом этапе организация прорабатывает важные детали процесса управления уязвимостями, в том числе следующие:

– Какие заинтересованные стороны будут вовлечены в процесс, и какие роли они будут выполнять

– Ресурсы, включая людей, инструменты и финансирование, доступные для управления уязвимостями

– общие рекомендации по определению приоритетов и реагированию на уязвимости

– Метрики для оценки успешности программы.

Организации не проходят этот этап перед каждым этапом жизненного цикла. Как правило, перед запуском официальной программы управления уязвимостями компания проводит обширный этап планирования и предварительной подготовки. После внедрения программы заинтересованные стороны периодически возвращаются к планированию и предварительной работе, чтобы при необходимости обновить общие рекомендации и стратегии.

Этап 1: Обнаружение активов и оценка уязвимостей

Формальный жизненный цикл управления уязвимостями начинается с инвентаризации активов – каталога всего аппаратного и программного обеспечения в сети организации. В инвентаризацию включаются как официально разрешенные приложения и конечные точки, так и теневые ИТ-активы, используемые сотрудниками без разрешения.

Поскольку в сети компании регулярно появляются новые активы, инвентаризация активов обновляется перед каждым этапом жизненного цикла. Для автоматизации инвентаризации часто используются программные средства, например платформы управления поверхностями атак.

После идентификации активов специалисты по безопасности оценивают их на предмет наличия уязвимостей. При этом может использоваться комбинация инструментов и методов, включая автоматические сканеры уязвимостей, ручное тестирование на проникновение и внешние данные об угрозах, полученные от сообщества специалистов по кибербезопасности.

Оценивать каждый актив на каждом этапе жизненного цикла было бы обременительно, поэтому специалисты по безопасности обычно работают группами. Каждый этап жизненного цикла направлен на определенную группу активов, причем более критичные группы активов сканируются чаще. Некоторые современные средства сканирования уязвимостей непрерывно оценивают все сетевые активы в режиме реального времени, что позволяет команде безопасности применять еще более динамичный подход к обнаружению уязвимостей.

Этап 2: Расстановка приоритетов уязвимостей

Специалисты по безопасности определяют приоритетность уязвимостей, обнаруженных на этапе оценки. Расстановка приоритетов позволяет команде в первую очередь устранить наиболее критичные уязвимости. Этот этап также помогает команде не тратить время и ресурсы на устранение уязвимостей с низким уровнем риска.

Для определения приоритетности уязвимостей команда учитывает следующие критерии:

– Оценка критичности по данным внешней разведки угроз: Это может быть список Common Vulnerabilities and Exposures (CVE) компании MITRE или Common Vulnerability Scoring System (CVSS).

– Критичность актива: Некритичная уязвимость в критичном активе часто получает более высокий приоритет, чем критичная уязвимость в менее важном активе.

– Потенциальное воздействие: Специалисты по безопасности оценивают, что может произойти, если хакеры воспользуются той или иной уязвимостью, включая влияние на бизнес-операции, финансовые потери и возможность судебных разбирательств.

– Вероятность эксплуатации: Команда безопасности уделяет больше внимания уязвимостям с известными эксплойтами, которые активно используются хакерами в реальной жизни.

– Ложные срабатывания: Прежде чем выделять ресурсы на устранение уязвимостей, специалисты по безопасности убеждаются в том, что они действительно существуют.

Этап 3: Устранение уязвимостей

Команда безопасности работает со списком приоритетных уязвимостей, начиная с наиболее критических и заканчивая наименее критическими.

У организаций есть три варианта устранения уязвимостей:

  1. Устранение: Полное устранение уязвимости, чтобы она больше не могла быть использована, например, путем исправления ошибки в операционной системе, устранения неправильной конфигурации или удаления уязвимого актива из сети. Устранение уязвимости не всегда возможно. Для некоторых уязвимостей полные исправления недоступны на момент обнаружения (например, уязвимости “нулевого дня”). Для других уязвимостей устранение будет слишком ресурсоемким.
  2. Устранение: Затруднение эксплуатации уязвимости или уменьшение последствий ее использования без полного устранения уязвимости. Например, добавление в веб-приложение более строгих мер аутентификации и авторизации затруднит хакерам захват учетных записей. Разработка планов реагирования на инциденты, связанные с выявленными уязвимостями, позволяет смягчить последствия кибератак. Обычно службы безопасности принимают решение о смягчении последствий в тех случаях, когда устранение уязвимости невозможно или непомерно дорого.
  3. Принятие: Некоторые уязвимости настолько малозначимы или их использование маловероятно, что их устранение не будет экономически эффективным. В этих случаях организация может принять решение о приемлемости уязвимости.

Этап 4: Проверка и мониторинг

Чтобы убедиться в том, что меры по устранению уязвимостей были приняты правильно, специалисты по безопасности проводят повторную проверку и тестирование активов, над которыми они только что работали. Эти проверки преследуют две основные цели: определить, успешно ли команда безопасности устранила все известные уязвимости, и убедиться, что устранение последствий не привело к появлению новых проблем.

На этапе переоценки команда безопасности также осуществляет более широкий мониторинг сети. Команда ищет новые уязвимости, появившиеся со времени последнего сканирования, устаревшие средства защиты и другие изменения, которые могут потребовать принятия мер. Все эти результаты используются при подготовке следующего этапа жизненного цикла.

Этап 5: Отчетность и усовершенствование

Команда специалистов по безопасности документирует результаты последнего этапа жизненного цикла, включая найденные уязвимости, предпринятые шаги по их устранению и результаты. Эти отчеты предоставляются соответствующим заинтересованным сторонам, включая руководителей, владельцев активов, отделы по обеспечению соответствия нормативным требованиям и другие.

Сотрудники службы безопасности также анализируют, как прошел последний этап жизненного цикла. При этом могут учитываться такие ключевые показатели, как среднее время обнаружения (MTTD), среднее время реагирования (MTTR), общее количество критических уязвимостей и частота повторения уязвимостей. Отслеживая эти показатели в течение определенного времени, специалисты по безопасности могут определить базовые показатели эффективности программы управления уязвимостями и выявить возможности для ее совершенствования с течением времени. Уроки, извлеченные из одного этапа жизненного цикла, могут сделать следующий этап более эффективным.

Источник:
https://www.ibm.com/blog/vulnerability-management-lifecycle/
https://icore.kz/upravlenie-uyazvimostyami/tenable-nessus/
https://icore.kz/upravlenie-uyazvimostyami/maxpatrol-vm/

Автор:
Matt Kosinski

Перевод и дополнения:
Лебедев А.В.