Журнал "Information Security/ Информационная безопасность" #1, 2024

Александр Дорофеев, Эшелон Технологии: Все зависит от того, как организация реализует оценку защищенности, являю- щуюся самой критичной операцией в управлении уязвимостями. Если оценка защищенности проводится на уровне сети, ОС, СУБД, WEB, прикладного ПО, а также в ходе оценки проверяется и навыки поль- зователей и аспекты физической без- опасности, то тогда процесс Vulnerability Management позволит видеть общую кар- тину подверженности организации угрозам информационной безопасности. Николай Казанцев, SECURITM: Корректно, ведь VM – это сканеры, а они видят только техническую часть вопроса. Уязвимости в широком смысле есть и в людях, и в процессах, и в архи- тектуре. VM – это лишь часть процесса управления рисками ИБ, хоть и очень важная. Часто техникоцентричные служ- бы ИБ забывают об этом. Владимир Михайлов, Фродекс: VM дает картину уязвимостей, которые можно технически детектировать "здесь и сейчас" в инфраструктуре компании. При этом организация может быть под- вержена нетехническим угрозам, кото- рые VM определить не в состоянии (саботаж, внутренние учетки, архитек- турные недостатки и пр.), но может под- светить слабые места инфраструктуры, устранение которых поможет миними- зировать подверженность угрозам в целом. Роман Овчинников, Security Vision: И да, и нет. Как класс решения, Vulne- rability Management показывает наличие "дыр" для реализации угрозы и позво- ляет организовать процесс их обработки. С другой стороны, данные решения не учитывают используемые СЗИ и другие контроли, которые влияют на возмож- ность эксплуатации конкретной уязви- мости. Для получения целостной картины нужен комплексный процесс, включаю- щий получение информации из разных источников и реализацию процедур оценки рисков. Таким образом, сам по себе VM не позволяет показать целост- ную картину, но является неотъемлемой частью для ее создания. Константин Саматов, АРСИБ: Если процесс Vulnerability Management построен правильно, то это неверно, так как в рамках процесса управления уязви- мостями должны происходить: l Во-первых, оценка применимости выявленных уязвимостей, в рамках кото- рой учитываются угрозы и возможности их реализации (в самом начале процесса управления уязвимостями). l Во-вторых, применение компенсирую- щих мер для исключения возможности эксплуатации данной уязвимости при отсутствии возможности ее устранить (например, если отсутствуют соответ- ствующие обновления программного обеспечения) – на завершающих стадиях процесса управления уязвимостями. Андрей Селиванов, R-Vision: Полнота общей картины защищенно- сти организации зависит от степени покрытия ее инфраструктуры системами защиты. Одним из ключевых инстру- ментов, позволяющих контролировать и минимизировать риски, связанные с ИБ, является Vulnerability Management. Цель VM – повышение общего уровня защищенности компании при помощи анализа и устранения конкретных уязви- мостей. Однако для создания комплекс- ной системы защиты информации необходимо использовать технологию VM в связке с остальными технологиями защиты информации, чтобы повысить уровень защищенности ИТ-инфраструк- туры организации от потенциальных угроз. Сергей Уздемир, АЛТЭКС-СОФТ: В общем и в частности качество VM является "лакмусовой бумажкой" про- цессов, связанных с ИБ. В общем, пото- му что реализация VM находится в пря- мой зависимости от качества управления и взаимодействия всех служб организа- ции, предполагает решение множества смежных задач. И частная оценка уязви- мостей, как результат VM, может быть Корректно ли считать, что Vulnerability Manage- ment дает лишь ограни- ченный взгляд на карти- ну уязвимостей, но не показывает общую под- верженность организа- ции угрозам? 40 • СПЕЦПРОЕКТ Эволюция систем управления уязвимостями. Круглый стол истемы класса Vulnerability Management (VM) постоянно развиваются. У них есть устоявшаяся, традиционная функциональность, но есть вызовы, на которые надо реагировать. По просьбе редакции журнала “Информационная безопасность” разработчики VM-решений поделились мнением о влиянии наиболее актуальных трендов на функциональность систем. С Александр Дорофеев, генеральный директор АО “Эшелон Технологии” Владимир Иванов, основатель “Сканфэктори” Николай Казанцев, CEO SECURITM Николай Лишке, директор центра кибербезопасности АО “Эшелон Технологии” Владимир Михайлов, руководитель департамента перспективных проектов, “Фродекс” Андрей Никонов, главный аналитик, “Фродекс” Павел Попов, лидер практики продуктов для управления уязвимостями, Positive Technologies Константин Саматов, член Правления Ассоциации руководителей служб информационной безопасности Андрей Селиванов, продукт-менеджер R-Vision VM Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management Дмитрий Овчинников, главный специалист отдела комплексных систем защиты информации, “Газинформсервис” Роман Овчинников, руководитель отдела исполнения Security Vision Сергей Уздемир, заместитель генерального директора “АЛТЭКС-СОФТ” по ИТ