Журнал "Information Security/ Информационная безопасность" #1, 2024

ции, таким образом ИБ-служба может получать данные о реальном состоянии каждого процесса и своевременно оце- нивать уровень угрозы в случае обнару- жения на них уязвимостей. Николай Степанов, F.A.C.C.T.: Сложный вопрос. Если у вас есть понимание, что ваш партнер плох в без- опасности и вы можете ему помочь (ска- нируя его с его разрешения) – прекрасно. Впрочем, вы не обязаны это делать, и если что-то произойдет с вами, вино- ватым будет он. Но стоит ли чувство правоты тех нервов, денег и времени, которые потратятся во время инцидента? Если соседний дом горит, лучше помочь с тушением, чтобы потом не пришлось и у себя делать ремонт. Андрей Никонов, Фродекс: Принципы безопасной разработки основываются на опыте инцидентов с уязвимостями в приложениях. То есть всегда сначала находились и эксплуа- тировались уязвимости, а затем разра- ботка менялась так, чтобы избегать их появления как можно раньше (shift left). И вряд ли это изменится в будущем – VM всегда будет подсказывать, как соз- давать более безопасное ПО. Кроме того, есть угрозы, которые не зависят от разработчиков, например ошибки кон- фигурирования систем и приложений. Роман Овчинников, Security Vision: Современные процессы безопасной разработки надежно связаны с устране- нием уязвимостей и не исключают друг друга. За счет гибкой интеграции ИТ- решений и процессов ИБ можно достиг- нуть настоящей эффективности и соз- дать экосистему, в которой решения будут дополнять друг друга. Поэтому актуальность применения VM не только не теряется, но глубже встраивается в DevSecOps. Павел Попов, Positive Technologies: Нет, так как безопасная разработка не может полностью закрыть появление новых уязвимостей в продуктах. Если была найдена новая уязвимость, а кли- ент не обновился на последнюю версию ПО, то необходима система, которая покажет эти уязвимости в конкретной версии продуктов. Кроме того, если относить конфигурационное несоответ- ствие к процессу Vulnerability Manage- ment, то проверка по compliance control не закрывается безопасной разработ- кой. Андрей Селиванов, R-Vision: Безопасная разработка (DevSecOps) направлена на устранение уязвимостей еще на этапе разработки ПО, однако она не является гарантом обеспечения полноценной защиты. Злоумышленники непрерывно ищут новые уязвимости в популярном и широко распространенном ПО. Поэтому необходимо обеспечивать дополнительную защиту при помощи VM-систем, которые служат для обнару- жения и устранения уязвимостей, помо- гая службам ИБ и ИТ снизить риски по их эксплуатации до минимума. Таким образом, наряду с DevSecOps внедрен- ный процесс VM усиливает защиту от вероятных атак, которые могут повлечь за собой потери для бизнеса. Константин Саматов, АРСИБ: Нет, не потеряет. Следует учитывать, что, несмотря на большую пользу РБПО, полностью исключить наличие уязвимо- стей в исходном коде невозможно. Часть уязвимостей может появиться уже непо- средственно в процессе эксплуатации информационного ресурса. Многие при- ложения используют сторонние компо- ненты, которые не всегда удается про- анализировать разработчикам про- граммного обеспечения. Ну и самое главное, управление уязвимостями не ограничивается только разработкой кода, оно также включает в себя оценку и защиту конфигураций и других сущ- ностей. Дмитрий Овчинников, Газинформсервис: Продукты подобного класса никогда не потеряют своей актуальности. Чело- веку свойственно ошибаться, потому ошибки в ПО и ОС всегда были и будут. По мере того как сложность разрабаты- ваемых программных продуктов растет, вероятность наличия в них уязвимостей тоже возрастает. Процесс налаживания безопасной разработки просто позволяет держать процент ошибок в допустимых пределах, но полностью не устраняет факторы их появления. Николай Лишке, Эшелон Технологии: Во-первых, не все организации – раз- работчики, не всем нужен AppSec и DevSecOps. Во-вторых, как может поте- рять актуальность один из компонентов с внедрением комплекса мероприятий, направленных на повышение защиты? VM является неотъемлемой частью, а возможно даже и базой для построения последующих мероприятий по обеспече- нию защищенной разработки. Мы не можем говорить о процессе безопасной разработки до тех пор, пока у нас не обновлены первичные инстру- менты разработки: GitLab, Nexus, Kuber- netes. Сергей Уздемир, АЛТЭКС-СОФТ: Нет, не потеряет, одно не исключает другого. Работает принцип "доверяй, но проверяй". Более того, внедрение про- цессов безопасной разработки в усло- виях все возрастающей сложности и количества заимствованного (встроен- ного) кода и ПО не всегда приводит к уменьшению количества уязвимостей и их критичности, а скорее, является критерием качества процессов реаги- рования разработчиком на выявляемые ошибки и уязвимости, например насколь- ко быстро они устраняются в обновле- ниях безопасности. Николай Степанов, F.A.C.C.T.: Пока системы пишут люди, люди будут делать ошибки. VM – это защита от таких ошибок. Роман Овчинников, Security Vision: Этот тренд уже прошел пик своей актуальности и подтверждается стати- стикой: формирование экосистем из решений одного вендора дополняется платформенным подходом. В рамках расширения функционала можно ожидать востребованность интег- рации решений VM с процессами управ- ления активами и инвентаризацией, ком- плаенса и оценки рисков, реагирования на инциденты и др. Андрей Селиванов, R-Vision: В будущем будет востребовано при- влечение технологий ИИ к обработке и приоритизации уязвимостей в ИТ-инфра- структурах с большим количеством акти- вов. Результатами такой обработки могут быть наиболее точно установлен- ные уровни критичности уязвимости, вычисленные вероятности эксплуатации уязвимости, основанные на уже имею- щихся данных об уязвимости и текущей конфигурации ИТ-инфраструктуры. В настоящее время активно просле- живается тренд на создание экосистем, в числе которых и системы класса VM. Например, связка решений VM и TIP дает возможность обогащать данные об уязвимостях сведениями из различных источников об угрозах. Такой комплекс систем будет выявлять попытки проник- новения в системы, обнаруживать целе- направленные атаки на ранних этапах и позволит быть в курсе актуальных угроз. А сочетание решений VM и XDR помо- гает в обнаружении уязвимостей и авто- матическом реагировании на них непо- средственно на конечных устройствах. Какая новая функцио- нальность будет востре- бована в системах Vulne- rability Management в ближайшие 2–3 года? Есть ли тренд на слия- ние VM с другими клас- сами ИБ-систем? Потеряет ли актуаль- ность Vulnerability Mana- gement с повсеместным внедрением процессов безопасной разработки? 44 • СПЕЦПРОЕКТ