Журнал "Information Security/ Информационная безопасность" #1, 2025

по уязвимостям, однако зачастую они передают неточную, дублированную или устаревшую информацию, что требует дополнительной пост-обработки для сни- жения числа ложноположительных сра- батываний. Наш продукт Security Vision NG VM нативно интегрируется с модулем Security Vision TIP, который позволяет работать с уже очищенными и приори- тизированными данными киберразведки. В решении Security Vision TIP произво- дится обработка TI-данных различного уровня (технический, тактический, опе- рационный, стратегический), которые могут содержать сведения об уязвимо- стях, активно эксплуатируемых в данный период времени в кибератаках на орга- низации из определенного сектора эко- номики в рамках вредоносных кибер- кампаний. Кроме того, поддерживается указание на связь между уязвимостями, определенным типом ВПО, киберпре- ступной группой и используемыми ею тактиками и техниками из матрицы MITRE ATT&CK, что позволяет перейти к проактивному реагированию на попыт- ки эксплуатации уязвимостей. Таким образом, на наш взгляд действительно эффективнее интегрировать процесс управления уязвимостями с процессом аналитики киберугроз на единой плат- форме. Сергей Кукарский, ScanFactory На наш взгляд TI в классическом понимании не может быть связан с VM, поскольку TI решает задачи анализа malware, сбор IOC и др. То есть эти задачи не связаны с уязвимостями. Александр Леонов, Positive Technologies Threat Intelligence является источником данных для двух наиболее важных пара- метров, используемых для приоритизации уязвимостей: наличие публичных экс- плойтов (и их зрелость) и наличие при- знаков эксплуатации в реальных атаках. Мы постоянно отслеживаем изменения этих параметров для всех известных уязвимостей, используя множество источ- ников. На их основе мы выделяем трен- довые уязвимости. Информация о них и правилах детектирования появляются в MaxPatrol VM в течение 12 часов. Андрей Никонов, Фродекс Интеграция данных TI в управление уязвимостями, как правило, служит для более точной приоритизации. Сопостав- ляя данные о выявленных уязвимостях с данными о киберугрозах, можно скор- ректировать оценки опасности найден- ных уязвимостей на основе фактического риска. Российские VM-решения разви- вают подходы по приоритизации уязви- мостей, в том числе используя оценки на основе данных TI. Однако инструмен- тарий по работе с угрозами представляет собой отдельный продукт, который потребуется интегрировать с VM. Андрей Селиванов, R-Vision Мы видим, что часть заказчиков используют инструменты TI. Например, для приоритизации уязвимостей. Это помогает понять, применялась ли уязви- мость в атаках, особенно если органи- зация входит в зону интересов группы атакующих. Однако TI – не обязательный инструмент, а дополнительный критерий для формирования приоритетов устра- нения уязвимостей. Александр Дорофеев, Эшелон Технологии Функция детектирования уязвимостей Сканер-ВС 7 как раз построена на том, что база уязвимостей постоянно обнов- ляется данными, которые наш сервис обновлений собирает из различных источников: NIST NVD, БДУ ФСТЭК Рос- сии, базы уязвимостей вендоров ОС и др. Мы также обогащаем карточки уязви- мостей данными о том, есть ли опубли- кованный эксплойт, известен ли факт эксплуатации (уязвимость включена в список Known exploited vulnerabilities), оценка эксплуатируемости по EPSS. Вадим Матвиенко, Газинформсервис Начиная с 2022 г., спрос на Threat Intelligence (TI) в российских компаниях постоянно растет. Там, где есть спрос, будет и предложение: существующие TI-решения развиваются и адаптируются. Однако для заказчиков также критически важно понимать, с какими внешними источниками взаимодействуют инстру- менты и насколько хорошо защищены каналы связи. Поэтому вендоры высту- пают в роли агрегаторов всех внешних источников, и после проверки данных по безопасным каналам передают информацию заказчикам. Вадим Матвиенко, Газинформсервис Многие компании обращаются в ком- мерческие SOC или выстраивают собст- венные SOC. В SOC выстроены процес- сы по определению приоритетов и кри- тичности уязвимостей в ИТ-активах. Если же необходимо в рамках отдела информационной безопасности решать задачи по снижению рисков, связанных с уязвимыми активами, то важно выра- ботать четкий регламент по исправлению уязвимостей. Он должен включать: инвентаризацию инфраструктуры, про- цесс классификации уязвимостей, про- цесс приоритизации уязвимостей, про- цесс устранения уязвимостей, а также мониторинг и контроль всех перечис- ленных процессов. При этом важно мак- симально автоматизировать все этапы. Сергей Кукарский, ScanFactory Приоритизация уязвимостей – важ- нейшая часть процесса VM, которая должна быть автоматизирована, а также дополнена такими данными как бизнес- ценность актива, наличие эксплойта, специальных вендорских метрик по уязвимости. Мы в своем решении используем ряд таких метрик и данных. Андрей Селиванов, R-Vision В организации должна быть внедрена VM-система, на базе которой можно будет агрегировать данные об ИТ-инфра- структуре из различных источников. Для выявления наиболее критичных уязви- мостей необходимо выстроить такой про- цесс, в ходе которого ключевым момен- том станет создание ресурсно-сервисной модели активов с точной оценкой их критичности. После чего необходимо настроить точную приоритизацию уязви- мостей, чтобы в первую очередь устра- нялись самые опасные из них. Александр Леонов, Positive Technologies Мы рекомендуем выстраивать свои ИT- инфраструктуры таким образом, чтобы установка обновлений безопасности про- исходила максимально безболезненно. Кроме того, важно в первую очередь устранять трендовые уязвимости на ключевых и целевых ИT-активах органи- зации. Следует настраивать ИТ-активы в соответствии с рекомендациями по без- опасной настройке, чтобы усложнить зло- умышленникам эксплуатацию уязвимо- стей. Об этом мы рассказываем на прак- тикуме по управлению уязвимостями. Александр Дорофеев, Эшелон Технологии С этим можно справиться только гра- мотно применяя риск-ориентированный подход, основанный на хорошем пони- мании защищаемой инфраструктуры и критичности активов, знании вероятных векторов атак и хорошем сканере уязви- мостей с постоянно обновляемой базой уязвимостей, обогащенной данными о возможности эксплуатации. Андрей Никонов, Фродекс Во-первых, регулярно обновляйте акти- вы. Это снимет большое количество проблем с уязвимостями. Главное – пом- Одна из наиболее ост- рых проблем – лавинооб- разный рост количества уязвимостей и скорость появления эксплойтов для них. Заказчики стал- киваются с постоянно растущим бэклогом невыполненных исправ- лений. Отдел ИБ должен выстраивать процессы так, чтобы не утонуть в этой волне. Какие реко- мендации вы можете дать? 28 • СПЕЦПРОЕКТ