Журнал "Information Security/ Информационная безопасность" #1, 2024

Эксперты Positive Technologies реко- мендуют вендорам сотрудничать с иссле- дователями безопасности, на раннем этапе анализировать код своих продуктов с помощью специальных средств и выстроить процесс поиска уязвимых мест в ПО. После обнаружения уязвимостей необходимо разработать патч, присвоить им идентификаторы (согласно CVE 7 и (или) базе данных угроз ФСТЭК 8 ) и опуб- ликовать эту информацию. Если в конеч- ном продукте используются решения Open Source, нужно сообщить о наличии или отсутствии в нем уязвимостей, чтобы клиенты смогли сосредоточиться на устранении реальных угроз. Даже если у производителя есть сильная команда ИБ, это не гарантия защиты от взлома. Вендору нужно постоянно проверять свою защищен- ность, используя предназначенные для этого системы и привлекая внешних исследователей. В идеале каждый про- изводитель ПО должен запускать про- граммы багбаунти, чтобы тестировать свою инфраструктуру, процесс выпуска ПО и конечные продукты. Такие про- граммы помогут обнаружить уязвимо- сти еще до начала реальных атак и защитить клиентов. Можно использовать решения Open Source или простые сканеры уязвимо- стей, если устраивает экспертиза и точность детекта. Но в случае послед- них компания должна быть готова выстраивать процесс еще в нескольких системах. Мы же рекомендуем пере- ходить к построению результативной безопасности и использовать системы Vulnerability Management, например MaxPatrol VM 9 . Продукт анализирует информацию об уязвимостях и выявляет трендовые, наиболее опас- ные для компании. Данные о них мы доставляем в MaxPatrol VM в течение 12 часов, что позволяет своевременно принять меры и защитить инфраструк- туру компании. l Эксперты Positive Technologies проана- лизировали собственный опыт взаимо- действия с вендорами в области раскры- тия уязвимостей. Так, в 2022–2023 гг. 57% вендоров оперативно отвечали исследователям компании, при этом толь- ко 14% всех производителей программ- ного обеспечения выпускали обновления в оптимально короткие сроки. Впервые обнаруженные недостатки безопасности, о которых производитель ПО не знает и для которых еще не существует исправлений, называются уязвимостями нулевого дня. Как только вендор узнает о таком недостатке, ста- новится крайне важно своевременно выпустить исправление, поскольку задержки позволяют злоумышленникам все чаще эксплуатировать такие уязви- мости в своих атаках. Число обнаруженных уязвимостей постоянно растет: в 2023 г. их количество (28 902) превысило показатели предыду- щих двух лет на 42% и 14% соответ- ственно. Кроме этого, каждый взлом и утечка обходятся бизнесу все дороже: средняя стоимость утечки, по данным IBM, за последние три года выросла на 15%, достигнув $4,45 млн. В связи с этим особое значение для укрепления защиты приобретает построение доверительных и прозрачных отношений между постав- щиками ПО и исследователями ИБ. Промедление в ответственном раскры- тии информации об уязвимостях чревато и ростом числа атак на цепочки поставок: за первые три квартала 2023 г. количество инцидентов, вызванных атаками подоб- ного типа, выросло в два раза по сравне- нию с показателями за весь 2022 г. Positive Technologies придерживается принципов координированного раскры- тия в случае обнаружения уязвимостей в продуктах вендоров. При таком фор- мате ответственного разглашения в про- цессе участвуют не только исследова- тели и производитель ПО, но и регуля- торы, и организации, которые выступают посредниками во взаимодействии с поставщиками. Основные проблемы при реализации принципов ответственного разглаше- ния – недостаточная структурированность процессов взаимодействия вендоров с исследователями, а также непосто- янство и задержки в отклике на сообще- ния о найденных уязвимостях. Специа- листы Positive Technologies считают, что оптимальное время ответа вендора составляет от одного дня до недели: в такие сроки исследователям компании смогли ответить 57% вендоров. Эксперты рекомендуют вендорам при- держиваться профессионального под- хода: следовать политике ответственного разглашения, доверять исследователям безопасности и поддерживать с ними активную коммуникацию, информируя о каналах связи. Кроме того, специали- сты советуют производителям ПО выпус- кать обновления безопасности и сообщать об этом в кратчайшие сроки, достойным образом поощрять исследо- вателей за нахождение уязвимостей, чтобы мотивировать их к продолжению эффективного сотрудничества. Компаниям – пользователям ПО, в свою очередь, рекомендуется выстроить процесс управления уязвимостями, используя системы, предоставляющие информацию о трендовых уязвимостях (которые важно устранять в первую очередь); так, система MaxPatrol VM предоставляет такие данные в течение 12 часов. l • 21 Управление Уязвимостями www.itsec.ru Только 14% вендоров оперативно исправляют уязвимости, найденные исследователями безопасности Рис. 1. Схема работы работы MaxPatrol VM АДРЕСА И ТЕЛЕФОНЫ POSITIVE TECHNOLOGIES см. стр. 70 NM Реклама 7 https://cve.mitre.org/ 8 https://bdu.fstec.ru/threat 9 https://www.ptsecurity.com/ru-ru/products/mp-vm/