Журнал "Information Security/ Информационная безопасность" #1, 2025

Применение компенси- рующих мер не устраняет уязвимость, а лишь снижает вероятность ее эксплуата- ции при текущей настройке конфигурации актива и инфраструктуры. Системы управления уязвимостями (VM) тра- диционно восприни- маются ИБ-сообществом как сканеры уязвимо- стей в инфраструктуре. В дополнение к этому VM-решения предоставляют набор описательного функцио- нала, который позволяет выво- дить графики, генерировать разнообразные отчеты, чтобы в конечном итоге работать с выявленными уязвимостями в удобном формате. Зачастую к таким системам предъявляет- ся требование по выдаче реко- мендаций по устранению уязви- мостей – то есть инструкции для оператора, описывающей действия по нейтрализации най- денной уязвимости. Но несмот- ря на это, от системы управле- ния уязвимостями никто не ожи- дает фактического управления уязвимостями в полном смысле этого слова. В итоге с помощью подобных систем фактически реализуется учет выявляемых уязвимостей, который включает текстовые описания, оценки опасности и рекомендации по их устране- нию. Это создает иллюзию конт- роля над уязвимостями, но на практике не всегда приводит к их устранению. Важно отме- тить, что в жизненном цикле управления уязвимостями (см. рис. 1) присутствует этап устранения найденных уязвимо- стей, который подробно описан в методическом документе ФСТЭК России "Руководство по организации процесса управле- ния уязвимостями в органе (орга- низации)" 1 от 17.05.2023. Этот этап является неотъемлемой частью процесса управления уязвимостями, и VM-системы должны поддерживать необхо- димые для этого инструменты. С технической точки зрения устранение инфраструктурных уязвимостей может быть реа- лизовано двумя основными спо- собами: 1. Обновление уязвимого про- граммного обеспечения (ПО). Если для ПО, в котором была выявлена уязвимость, существу- ет более новая версия, устра- няющая данную уязвимость, то можно произвести обновление. Это наиболее эффективный способ окончательного устра- нения уязвимости, так как обновление ПО устраняет саму уязвимость, а не просто снижает вероятность ее эксплуатации. Важно отметить, что обновления могут включать не только исправления безопасности, но и новые функции, улучшения производительности и исправ- ления ошибок, что делает их важными для общего функцио- нирования системы. 2. Применение компенсирую- щих мер. Этот подход исполь- зуется в тех случаях, когда у уязвимого ПО нет новой вер- сии, или по определенным при- чинам невозможно произвести обновление. Компенсирующие меры представляют собой ряд организационно-технических мероприятий, направленных на снижение вероятности эксплуа- тации уязвимости или на сни- жение ущерба от ее эксплуата- ции. Эти меры могут касаться как целевого уязвимого актива, так и других активов инфра- структуры, например межсете- вых экранов. Однако стоит отметить, что применение ком- пенсирующих мер не устраняет уязвимость, а лишь снижает вероятность ее эксплуатации при текущей настройке конфи- гурации актива и инфраструк- туры. Поддерживать безопас- ную конфигурацию в течение длительного времени – задача крайне сложная, особенно с уче- том постоянных изменений в инфраструктуре и необходи- мости компенсировать новые возникающие уязвимости. Важно также понимать, что при- менение компенсирующих мер требует постоянного монито- ринга и оценки их эффективно- 16 • СПЕЦПРОЕКТ Патч-менеджмент в действии: автоматизация устранения уязвимостей в инфраструктуре ежду моментом обнаружения уязвимости и ее фактическим устранением часто пролегает глубокий организационно- технический разрыв. Его способен закрыть патч-менеджмент, интегрированный в VM-решение, сделав процесс управления уязвимостями завершенным и управляемым. Рассмотрим обязательную функциональность, которая для этого должна быть реализована в решении. М Андрей Никонов, главный аналитик, “Фродекс” Рис. 1. Жизненный цикл управления уязвимостями Фото: Фродекс 1 https://fstec.ru/dokumenty/vse-dokumenty/spetsialnye-normativnye-dokumenty/metodicheskij-dokument-ot-17-maya-2023-g