Журнал "Information Security/ Информационная безопасность" #1, 2024

Что нового в регулировании С начала 2022 г. многие российские компании столкнулись 2 с беспрецедент- ным количеством кибератак на свою инфраструктуру. Первым полноценным документом в ответ на этот вызов стали "Критерии для принятия решения по обновлению критичного ПО, не относя- щегося к Open Source" 3 Национального координационного центра по компью- терным инцидентам (НКЦКИ). Всего пять лет назад история о заклад- ке в патче или в обновлении программ- ного обеспечения могла показаться мифом. Сегодня же пользователи в Рос- сии могут быть отключены от любого обновления или патча ПО по территори- альному признаку. Поэтому НКЦКИ, в частности, отмечает 4 следующее: l приведенный в документе алгоритм, призванный помочь специалистам при- нять решение об обновлении, является рекомендацией; l применяя алгоритм, нужно обязатель- но учитывать контекст организации: рекомендуемые решения подходят не для всех случаев; l ПО перед обновлением в продуктив- ной среде должно быть проверено на корректную работоспособность в тесто- вом сегменте; l если возможно препятствовать экс- плуатации уязвимости наложенными средствами защиты, производить обнов- ление не рекомендуется; l если специалисты в состоянии прове- рить обновление ПО на наличие недек- ларированных возможностей, то следует принимать решение по результатам собственного анализа; l не рекомендуется применять этот алгоритм для обновления ПО в АСУ ТП и мобильных ОС. Следующим важным документом стала "Методика оценки уровня критич- ности уязвимостей программных, про- граммно-аппаратных средств" 5 Феде- ральной службы по техническому и экс- портному контролю (ФСТЭК) России от 28 октября 2022 г. Главное отличие этой методологии – появление уникального идентификатора инфраструктуры, кото- рый указывает на частный уровень опас- ности уязвимостей, потому что у всех компаний есть неповторимые особенно- сти, как у людей – отпечатки пальцев. Еще один важный документ – "Руко- водство по организации процесса управ- ления уязвимостями в органе (органи- зации)" 6 издан ФСТЭК 17 мая 2023 г. Это уже полноценная методика, которая помогает рассчитать уровень опасности уязвимостей на основании предыдущего методического документа и определить срок и методы их устранения с учетом смежных процессов. (Не)уязвимое ПО Ключевой нюанс, отличающий процесс управления уязвимостями в России от VM в других странах, – массовое импор- тозамещение. В отличие от мировой практики российские разработчики редко публикуют информацию об уязви- мостях, найденных в своем ПО. При этом многое в процессе управления уязвимостями приходится пересматри- вать "на живую". Например, в связи с тем, что злоумышленники часто угро- жают корпорациям уничтожением инфраструктуры, последние не могут себе позволить ждать появления патча от вендора. В подобных случаях при появлении уязвимости на периметре нужно четко и быстро среагировать, принять компенсирующие меры. Многие отечественные разработчики ПО после получения сертификата ФСТЭК России считают свой продукт неуязвимым. Однако и в таких системах могут быть найдены уязвимости нулевого дня (0-day) – нужно не только оперативно устранять их, но и публиковать информацию для клиен- тов. При использовании в продукте реше- ний Open Source или общедоступного инструмента клиенты также должны полу- чить инструкции по устранению проблем. Некоторые виды ПО базируются на ядрах популярных Linux-систем, напри- мер Debian, CentOS, FreeBSD и RHEL. И тут возникает вопрос: что делать с их уязвимостями? Ведь операционная система переработана и уже отличается от той первоначальной, которую брали за основу. Можно просто взять извест- ные уязвимости исходной ОС и начинать публиковать информацию о том, что есть и у ответвленного проекта (форка), но из-за изменений в системе не все недостатки будут совпадать. Что учесть в 2024 году Злоумышленники рано или поздно изучат уязвимые решения, обнаружат в них 0-day, а затем продадут информацию на черном рынке или будут использовать ее в целенаправленных атаках. Произво- дители, которые не публикуют данные об уязвимостях и не выпускают обновления безопасности, усугубляют ситуацию. 20 • СПЕЦПРОЕКТ Управление уязвимостями в 2024 году: что изменилось и как перестроить процесс правление уязвимостями (Vulnerability Management) – важный аспект информационной безопасности. На первый взгляд, процесс стандартный везде: ведь злоумышленники, уязвимости программного обеспечения, неверно выстроенный патч-менеджмент есть повсюду. Однако в условиях всплеска числа кибератак, ухода зарубежных вендоров, импортозамещения ПО и обновления нормативно-правовой базы у процесса управления уязвимостями в России есть ряд важных особенностей. Разберем их и расскажем, как MaxPatrol VM 1 помогает выстраивать процесс управления уязвимостями в компаниях с учетом этих нюансов. У Павел Попов, лидер продуктовой практики MaxPatrol VM, Positive Technologies Фото: Positive Technologies 1 https://www.ptsecurity.com/ru-ru/products/mp-vm/ 2 https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2022/ 3 https://safe-surf.ru/upload/ALRT/ALRT-20220415.1.pdf 4 https://safe-surf.ru/specialists/news/678042/ 5 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-28-oktyabrya-2022-g-2 6 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g