Журнал "Information Security/ Информационная безопасность" #1, 2024

Павел Попов, Positive Technologies: Автоматизация, конечно, отличный подход, но давайте представим ситуа- цию: найдена критическая уязвимость ОС, на которой установлено бухгалтер- ское ПО. Проводится автопатчинг, после которого программа перестает работать, потому что бухгалтерское ПО не под- держивает новую версию ОС. И как часто бывает, бэкап делался полгода назад, а именно сегодня нужно прово- дить оплату. Кто будет виноват? Решение об устранении уязвимости принимает ИБ, тестирует обновление – ИТ. Никто не отменял процесс проверки и установки обновлений в ИТ-департа- менте. А в какие сроки это все будет происходить, закладывается во время формирования процесса VM. Поэтому в большинстве случаев VM-процесс не исключает ручное вмешательство. Дмитрий Овчинников, Газинформсервис: Совсем не обязательно, что устране- ние уязвимостей будет производиться в ручном режиме. Зачастую современные средства автоматизации позволяют мас- сово управлять обновлениями. Однако это не исключает тех случаев, когда какие-либо устройства или системы надо будет обновлять вручную. Это может быть связано со специфическим настройками, сбоями или характером работы самой системы. Сергей Уздемир, АЛТЭКС-СОФТ: Vulnerability Management решает про- блему, если эти цепочки поставки (постав- щики услуг, контрагенты, смежные систе- мы) входят в защищаемый контур с общим управлением ИБ или они самостоятельно реализуют процесс VM, есть установлен- ные критерии доверия и оценки соответ- ствия (compliance) этого процесса. Павел Попов, Positive Technologies: Vulnerability Management позволяет искать известные уязвимости в том ПО, которое используется при разработке своих продуктов вендорами. Нужно также использовать продукты для ана- лиза исходного кода. В идеале средство автоматизации поиска уязвимостей должно интегрироваться со средствами анализа исходного кода. Андрей Никонов, Фродекс: Можно выделить следующие меха- низмы VM-решения для защиты цепочек поставки: 1. Проверка обновлений программного обеспечения – VM-решение должно под- светить соответствующий статус обнов- ления, например, по базе ФСТЭК России. 2. Сканирование docker-образов, используемых в организации для запуска приложений. 3. Сканирование зависимостей и сто- ронних библиотек (Dependency Check) при разработке ПО. Константин Саматов, АРСИБ: Vulnerability Management влияет на решение проблемы защиты цепочки поставок следующим образом. Во-первых, позволяет выявить уязви- мости в программном обеспечении и компонентах информационного ресур- са, поступающих от поставщиков. Во-вторых, управление уязвимостями включает в себя анализ и контроль цепочек поставки (как минимум какой- то части этой цепочки), включая про- верку безопасности поставщиков. В-третьих, управление уязвимостями способствует формулированию требо- ваний по безопасности для поставщи- ков, что помогает снизить риск внедре- ния уязвимых компонентов в цепочки поставки. Николай Лишке, Эшелон Технологии: Например, внедренный процесс VM в компании – разработчике ПО позволит находить и закрывать уязвимости в среде разработки, что, в свою очередь, снижает риск компрометации продуктов, которые поставляются этой компанией на рынок. Роман Овчинников, Security Vision: Первым шагом в обеспечении без- опасности цепочки поставок является выявление любых потенциальных сла- бых мест в системе. Разработка и повсе- местное внедрение процесса Vulnerability Management, включая процедуры при- обретения и обновления ПО, позволит выявлять потенциальные угрозы. А использование данных TI в процессе Vulnerability Management дополнительно повысит эффективность и оперативность таких мероприятий. Дмитрий Овчинников, Газинформсервис: VM – это один из инструментов, кото- рый повышает защищенность компании. Надо не только выявлять существующие уязвимости в инфраструктуре, но и свое- временно устранять их, проверять систе- мы на наличие закладок и бэкдоров. Подобный подход снизит вероятность того, что через компанию смогут осуще- ствить атаку на цепочку поставок. А вот от внешней атаки, совершенной подоб- ным образом, будет защищать совер- шенно другой класс продуктов. Андрей Селиванов, R-Vision: Непрерывность работы всех бизнес- процессов компании стоит на первом месте у бизнеса и является приоритетом среди задач ИБ-службы. Благодаря кор- ректно выстроенному процессу VM совместно с другими процессами обес- печения ИБ в организации снижается общий уровень риска нарушения рабо- тоспособности бизнес-процессов, осо- бенно тех, что прямо или косвенно свя- заны с работой ИТ-инфраструктуры ком- пании. R-Vision VM помогает решать подоб- ные задачи по защите цепочек поставок, имея функциональные возможности не только для построения карты взаимо- связей активов и бизнес-процессов, но и для оценки степени риска нарушения бизнес-процессов. R-Vision VM предо- ставляет возможность мониторинга состояния бизнес-процессов организа- Каким образом Vulnerabi- lity Management решает проблему с защитой цепочек поставки? • 43 Управление Уязвимостями www.itsec.ru Изображение: ГРОТЕК"