Журнал "Information Security/ Информационная безопасность" #2, 2025

Именно эксплуатация уязвимостей, наряду с фишингом, ВПО и атаками на цепочки поставок, является излюбленным спо- собом проникновения ата- кующих в инфраструктуру. В настоящий момент в груп- пе компаний "Черноголовка" идет пилотное внедрение продукта Security Vision VM – Vulnerability Manage- ment, который включает в себя модуль управления активами (AM) и сканер уязвимостей (VS). Логика процесса приори- тизации и управления уязви- мостями полностью настраи- вается – можно учитывать, например, CVSS-рейтинг, наличие публичного экс- плойта, признак применения уязвимости в реальных ата- ках, требования к безопас- ности обрабатываемой уязвимым активом инфор- мации, критичность зависи- мого от него бизнес-процес- са и т.д. У Security Vision в порт- феле продуктов есть реше- ния и для полной автомати- зации процессов ИБ (Securi- ty Vision SGRC), и для эффективного выявления и реагирования на киберин- циденты с помощью продук- тов Security Vision NG SOAR (расширенное управление киберинцидентами со встроенной корреляцией событий ИБ), Security Vision TIP (управление аналитикой киберугроз с выявлением инцидентов), Security Vision UEBA (анализ поведения пользователей и сущностей для выявления скрытых кибератак), Security Vision AD + ML (выявление анома- лий на основе машинного обучения). nerability Management), управ- ления конфигурациями и состоянием устройств (SPC, Security Profile Compliance), управление соответствием (CM, Compliance Management), управ- ления непрерывностью бизнеса (BCP, Business Continuity Plan- ning), управления киберрисками (RM, Risk Management). Для более продвинутых компаний подойдут решения Security Vision по расширенному управ- лению киберинцидентами (NG SOAR), управлению аналитикой киберугроз (TIP), поведенческой аналитике (UEBA), выявлению аномалий на основе машинного обучения (AD + ML, Anomaly Detection + Machine Learning). – Эксплуатация уязвимо- стей – один из самых популярных векторов кибератак. Как в группе компаний "Черноголовка" выстроена работа с уязви- мостями? – Действительно, именно экс- плуатация уязвимостей, наряду с фишингом, ВПО и атаками на цепочки поставок, является излюбленным способом про- никновения атакующих в инфраструктуру. В настоящий момент в группе компаний "Чер- ноголовка" идет пилотное внед- рение продукта Security Vision VM – Vulnerability Management, который включает в себя модуль управления активами (AM) и сканер уязвимостей (VS). Данное решение позволяет выстроить процесс управления активами с их инвентаризацией, категорированием, управлени- ем жизненным циклом и уста- новленным ПО, с построением ресурсно-сервисной модели инфраструктуры и даже с уда- ленным безагентским админи- стрированием устройств, в том числе из интерактивного графа связей объектов. Сканер уязвимостей с собст- венным движком на основе базы уязвимостей Security Vision проводит обнаружение уязви- мостей, обогащает данные по ним из внешних аналитических сервисов (таких как VulDB, Vul- ners, AttackerKB и др.) и позво- ляет принять решение по каж- дой из уязвимостей в зависи- мости от ее свойств и характе- ристик актива, на котором она найдена. Логика процесса приорити- зации и управления уязвимо- стями полностью настраивает- ся – можно учитывать, напри- мер, CVSS-рейтинг, наличие публичного эксплойта, признак применения уязвимости в реальных атаках, требования к безопасности обрабатываемой уязвимым активом информа- ции, критичность зависимого от него бизнес-процесса и т.д. Решение поддерживает аутентифицированное ("белый ящик") и неаутентифицирован- ное (пентест, "черный ящик") сканирование, ретросканирова- ние, сканирование веб-прило- жений и Docker-контейнеров, а также поиск уязвимостей в portable-версиях ПО за счет файлового сканирования и аудит изолированных сетевых сегментов за счет отчуждаемого сканера. Поддерживаются интеграция с различными базами уязвимо- стей (включая БДУ ФСТЭК, NVD, Linux, Microsoft и т.д.), интеграция с внешними скане- рами (например, с MaxPatrol, RedCheck, Nessus, Tenable, Qualys и др.), интеграция с раз- личными внешними ИТ-/ИБ- решениями для импорта данных и выполнения удаленных опе- раций (например, с различными СЗИ, базами данных, сетевыми устройствами, службами ката- логов, с удаленными Linux- и Windows-устройствами и т.д.). Кроме того, Security Vision VM поддерживает управление задачами на устранение уязви- мостей через встроенный таск- трекер и за счет интеграции с внешними решениями Help Desk, а также позволяет реали- зовать автоматический патчинг, при котором обновления без- опасности будут устанавливать- ся в автономном режиме. Все указанные функции мы активно и с удовольствием используем в рамках пилотного проекта – удобный и функцио- нальный веб-интерфейс Security Vision VM с графическим кон- структором Low-code/No-code упрощает администрирование и эксплуатацию решения. Кста- ти, совсем недавно Security Vision вошла в топ-3 списка лидеров российского рынка платформ Low-code по резуль- татам комплексного исследо- вания, проведенного Фондом "Сколково" совместно с анали- тическим центром TAdviser. – Какие еще решения можно использовать для эффективного предотвра- щения кибератак и реаги- рования на инциденты ИБ? – Ключом к эффективному предотвращению кибератак являются выстроенные и авто- матизированные процессы ИБ, обученный и осведомленный персонал, а также современные защитные решения, использую- щие технологии обработки Big Data, машинного обучения и искусственного интеллекта. Если же кибератаку не уда- лось предотвратить, то ее необходимо как можно быстрее обнаружить, проанализировать, локализовать, устранить и затем восстановить инфра- структуру – оперативное выпол- нение всех этапов реагирования на киберинцидент помогает сни- зить ущерб и нивелировать негативные последствия от взлома. У наших коллег из Security Vision в портфеле продуктов есть решения и для полной автоматизации процессов ИБ (Security Vision SGRC), и для эффективного выявления и реа- гирования на киберинциденты с помощью продуктов Security Vision NG SOAR (расширенное управление киберинцидентами со встроенной корреляцией событий ИБ), Security Vision TIP (управление аналитикой кибе- ругроз с выявлением инциден- тов), Security Vision UEBA (ана- лиз поведения пользователей и сущностей для выявления скрытых кибератак), Security Vision AD + ML (выявление ано- малий на основе машинного обучения). Все указанные реше- ния бесшовно интегрируются с другими продуктами Security Vision, такими как Security Vision AM, VS, VM, SPC, CM, BCP, RM, а также с модулями для управления операционными рисками (ORM, Operational Risk Management), управления соот- ветствием 187-ФЗ (модуль КИИ) и взаимодействия с регулято- рами (модули ГосСОПКА и Фин- ЦЕРТ). Разумеется, все продук- ты Security Vision присутствуют в реестре российского ПО, сер- тифицированы ФСТЭК России по УД4 и обладают заключени- ем 8 Центра ФСБ России. – В свете дефицита кад- ров все чаще говорят о необходимости тоталь- ной автоматизации всех видов работ. Какие про- цессы ИБ целесообразно роботизировать? – В идеальном случае боль- шинство процессов, активностей и действий ИБ-отделов – управ- 14 • В ФОКУСЕ