Журнал "Information Security/ Информационная безопасность" #1, 2025

мостей к риск-ориентированному управ- лению уязвимостями с непрерывным обнаружением уязвимостей, обогаще- нием данных по ним, с оценкой влияния уязвимостей на бизнес-процессы и даль- нейшей приоритизацией устранения уязвимостей на основе скоринга рисков их эксплуатации. Выделенный VOC- центр позволяет поднять приоритет про- цесс управления уязвимостями на стра- тегический уровень в компании, на кото- ром ускоряется выделение ресурсов и упрощается привлечение сотрудников смежных подразделений (риск-менед- жеров, владельцев бизнес-систем) для выбора способа обработки уязвимостей (принятие, избежание, минимизация). Установка обновлений безопасности и контроль их применения в рамках про- цесса управления уязвимостями также будет выполняться с повышенным прио- ритетом за счет высокого положения VOC в иерархии компании. В настоящий момент в большинстве российских компаний управлением уязвимостями занимаются выделенные рабочие группы ИТ-/ИБ-сотрудников, в каких-то случаях – корпоративные SOC- центры, где-то управление поверхностью атак и уязвимостями на периметре отда- но на аутсорс MSS-провайдерам. Оте- чественные организации, вероятно, смо- гут массово перейти к концепции выде- ленных VOC-центров в среднесрочной перспективе (один–два года). Андрей Никонов, Фродекс Применение ИИ в VM-решениях в пер- вую очередь направлено на улучшение детектирования и оценки опасности уязвимостей. Проводя аудит, нас в пер- вую очередь волнует полнота и точность результата: хочется верить, что он не содержит ошибок первого и второго рода. Похожее желание возникает при анализе оценок опасности уязвимостей: нам нужно понимать, насколько опасна найденная уязвимость на конкретном активе в конкретных условиях работы. Данные задачи можно решать намного эффективнее с использованием техно- логий ИИ. Роман Овчинников, Security Vision Технология ИИ, используемая в про- дуктах Security Vision, позволяет эффек- тивно выявлять в сети неучтенные устройства и связи между ними, а также классифицировать активы, например, на основе анализа накопленных истори- ческих данных о сетевых коммуникациях. Для обогащения информации об уязви- мостях ИИ анализирует различные источники, включая форумы, соцсети, блоги, а также позволяет обнаружить аномалии и попытки эксплуатации уязви- мостей в текущем потоке событий ИБ. Для обогащения данных по уязвимостям поддерживается интеграция с модулем Security Vision TIP, в котором также используется технология ИИ для управ- ления данными киберразведки – инди- каторами компрометации и атак. Сле- дует учитывать, что уязвимости могут возникнуть и в небезопасных настройках устройств, поэтому в решении Security Vision NG VM также применяется конт- роль конфигураций в модуле SPC (Secu- rity Profile Compliance), который оснащен возможностью автоматического приве- дения параметров активов к эталонным значениям (Auto-Compliance). Кроме того, поддерживается и механизм авто- матической установки обновлений без- опасности (Auto-SGRC). Александр Леонов, Positive Technologies Технологии ML незаменимы при оцен- ке критичности и выделения трендовых уязвимостей – тех, которые уже экс- плуатируются в атаках или могут быть использованы злоумышленниками в бли- жайшем будущем. Сергей Кукарский, ScanFactory С точки зрения атакующих ИИ может быть применен, однако такие действия создадут много шума. С другой стороны, в роли помощника защитника ИИ при- меним в большей степени. Например, в нашем продукте он решает задачу отсе- ва False positive. Аналитику не требуется тратить много времени, сокращается время работы при исследовании под- робности уязвимости. Андрей Селиванов, R-Vision В российских VM-решениях ИИ уже применяется, но скорее как дополни- тельный инструмент для некоторых функций -- например, для мониторинга и анализа трендовых уязвимостей или для переработки контента по уязвимо- стям без потери смысла. Однако уровень зрелости и распространенность таких технологий еще имеет очень большой потенциал развития, в том числе и в части анализа взаимосвязей уязвимо- стей в цепочках атак. Виктория Шишкина, Positive Technologies В последней версии MaxPatrol VM (2.7) реализована функция умного поиска информации по активам для выявления необходимых групп, сор- тировки узлов по обнаруженным уязви- мостям и выполнения других запросов. Сейчас мы работаем над оптимизаци- ей процессов расширения экспертного покрытия, внедряя ML-технологии поэтапно, чтобы сохранить высокую точ- ность и качество данных. Еще один мировой тренд – обогаще- ние процесса управления уязвимостями данными Threat Intelligence: сканеры уязвимостей теперь зачастую связаны с внешними источниками TI. Наблюдается ли этот тренд в российских решениях или будет эффективнее, если заказчик проведет такую интеграцию на своей стороне? Роман Овчинников, Security Vision Внешние источники TI-данных, без сомнения, помогают обогатить данные машинное обучение помогает распознавать паттерны в результатах сканирования, сокращая ложноположительные срабатывания и пропус- ки. например, ии-модель может выявить, что несколько уязвимостей в разных системах на самом деле связаны еди- ной потенциальной цепочкой атаки, и сигна- лизировать об этом, – человек не смог бы сде- лать вручную. то есть ии не ограничивается оди- ночными уязвимостями – он выявляет взаимосвя- зи, понимая, как уязвимо- сти могут сочетаться с точки зрения продвиже- ния атакующего по сети. Какова роль ии в рос- сийских решениях? • 27 Управление Уязвимостями www.itsec.ru