Журнал "Information Security/ Информационная безопасность" #1, 2025

нить про тестирование обновлений перед распространением. Во-вторых, проводи- те учет ПО в инфраструктуре и старай- тесь сдерживать его рост. В идеале стоит выработать ограниченный набор разрешенного ПО – это также снизит количество уязвимостей и упростит их устранение. Если вышесказанное не помогло – прорабатывайте приоритиза- цию и сроки устранения уязвимостей с фокусом на периметр и критические активы. Роман Овчинников, Security Vision Прежде всего необходимо сформиро- вать корпоративную политику управле- ния уязвимостями. За основу можно взять, например, публикацию NIST SP 800–40, в соответствии с которой жиз- ненный цикл управления уязвимостями состоит из этапов обнаружения и учета активов, планирования (оценка опасно- сти уязвимости, выбор метода обработки уязвимости), реализации выбранного метода (установка патчей, отключение уязвимого сервиса, изменение конфи- гурации актива, внедрение компенси- рующих мер), проверки эффективности предпринятых действий (патч или без- опасная конфигурация корректно при- менены), дальнейшего непрерывного мониторинга (что конфигурация не изме- нится, а патч не будет удален случайно или намеренно). Важно также получать данные об уязвимостях из различных источников (реестры БДУ ФСТЭК, MITRE CVE, NIST NVD, Exploit-DB, AttackerKB, бюллетени безопасности регуляторов и вендоров), обогащать информацию по уязвимостям TI-данными, приоритизи- ровать уязвимости (например, используя метрики CVSS v.4.0, EPSS, CISA KEV, CISA SSVC, следую рекомендациям документа "Методика оценки уровня кри- тичности уязвимостей программных, про- граммно-аппаратных средств" ФСТЭК России). Корпоративная ИТ-среда усложняется: в дополнение к традиционным системам пришли облака, контейнеры, IoT-устрой- ства, АСУ ТП. Расширение периметра создает новые слепые зоны. Например, производственный сегмент сети часто содержит устаревшие системы, которые физически не вынесут бесконтрольного сканирования, но при этом невыявлен- ные уязвимости в них несут критические риски. Есть те, кто пересматривает порт- фель сканеров и оставляет пару уни- версальных решений, другие же исполь- зуют несколько узкоспециализирован- ных. Какой подход кажется вам более правильным? Вадим Матвиенко, Газинформсервис Единый и унифицированный интер- фейс для работы со всей ИТ-средой выглядит наиболее привлекательным. Однако наличие серых зон, не охвачен- ных сканерами, недопустимо. Поэтому компании используют те инструменты, которые им доступны. Андрей Селиванов, R-Vision Оптимальный подход – комбиниро- ванный. Лучше использовать универ- сальный инфраструктурный сканер на базе VM-решения как основу, дополняя его специализированными инструмен- тами. Большим плюсом будет возмож- ность интеграции используемого VM- решения с другими сканерами в части импорта выявленных активов и уязви- мостей с последующей их централизо- ванной обработкой. Александр Дорофеев, Эшелон Технологии Имеет смысл использовать набор ска- неров, имеющих механизмы проверок для используемого в контролируемой инфраструктуре ПО. Сергей Кукарский, ScanFactory: Наи- более правильным подходом, на наш взгляд, является агрегация результатов различных сканеров, ведь универсаль- ный инструмент одинаково плох для каждой задачи из широкого спектра. В то время как несколько узкоспециа- лизированных сканеров дают хороший результат детекта по разным направле- ниям. В ScanFactory как раз реализован данный подход, когда лучшая мировая экспертиза собрана под общей системой управления. Роман Овчинников, Security Vision Большое число систем управления уязвимостями, с одной стороны, может дать более широкий охват инфраструк- туры, с другой – возможно появление дублей, расхождений и серых зон, не охваченных ни одним из решений. Более предпочтительным видится подход использования выносных сканеров, кото- рые работают в выделенных сегментах инфраструктуры, а затем передают полу- ченные данные на центральный узел VM-решения, где к уязвимостям приме- няются единые стандарты их обработки и приоритизации. Это позволит управ- лять всеми уязвимостями и недостатка- ми конфигураций из единого окна, фор- мировать централизованную статистику, контролировать выполнение выбранного метода обработки уязвимостей. В нашем решении Security Vision NG VM поддер- живается возможность установки ска- неров на выделенные серверы в изоли- рованных сетях и дальнейший импорт результатов сканирования на основной сервер. Андрей Никонов, Фродекс В любом случае целесообразно мини- мизировать количество инструментов. Каждое платное решение стоит денег, все развернутые сканеры надо обслу- живать, а также необходимо развернуть еще одно решение, где будут агрегиро- ваться результаты. Российский рынок VM-решений предлагает продукты с сильными возможностями сканирова- ния разных типов и разновидностей активов. Даже если вы не нашли под- держку своих систем в документации продукта – спросите вендора: он может пойти навстречу и доработать аудит в следующем обновлении. Александр Леонов, Positive Technologies Для того чтобы оценить, достаточно ли одного сканера уязвимостей, необхо- димо узнать состав активов в инфра- структуре. Для этого нужен эффектив- ный процесс Asset Managemet. Затем важно понять, какие уязвимости умеет детектировать установленный сканер. В результате будет видно, для каких типов активов невозможно детектиро- вание уязвимостей с помощью исполь- зуемого сканера. По каждому случаю необходимо будет принимать решение: мотивировать вендора, закупать допол- нительные сканеры, разрабатывать собственные средства детектирования уязвимостей, детектировать уязвимости вручную, отказываться от использования актива или принимать риски. l • 29 Управление Уязвимостями www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru