Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Positive Technologies: С февраля 74% компаний изменили подход к обновлению ПО и работе с уязвимостями

Positive Technologies провела опрос среди экспертов по ИБ, чтобы выяснить, как построен процесс управления уязвимостями...

Positive Technologies провела опрос среди экспертов по ИБ, чтобы выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских организациях и что изменилось в нем с 2020 г. В последние месяцы отечественные компании оказались в эпицентре кибератак, сообщили CNews представители Positive Technologies. Это в числе прочего влияет на то, как организации защищают свою инфраструктуру. С февраля 2022 г. 74% специалистов изменили свой подход к обновлению программного обеспечения: четверть опрошенных решили приостановить установку обновлений, а еще четверть увеличили сроки тестирования ПО.

Как показал опрос, компаниям пришлось пересмотреть выстроенный процесс обновления ПО. Лишь 11% участников исследования не внесли изменения в свой регламент. Радикально к вопросу закрытия уязвимостей подошли 26% опрошенных: они отключили обновления на всех узлах.

«Подход, при котором ПО инфраструктуры не обновляется, грозит накоплением новых уязвимостей, повышается риск взлома системы злоумышленниками, — отмечает Анастасия Зуева, старший менеджер по развитию и продвижению MaxPatrol VM, Positive Technologies. — Выбор сложный: обновлять ПО с риском получить вместе с исправлением недокументированные возможности или не обновлять и копить известные и неизвестные уязвимости. Мы считаем оптимальным решение, при котором компания может выделить ресурсы на тестирование поставляемых патчей. Так делают 30% опрошенных в ритейле, 38% телекоммуникационных компаний, 28% госучреждений, 29% ИТ-компаний, 28% финансовых организаций».

По результатам опроса, изменилась скорость устранения критически опасных брешей в ПО. Если в 2020 г. 39% опрошенных успевали закрыть критически опасные уязвимости на приоритетных для компании активах за один-два дня, то в 2022 г. за тот же период их успевают устранить 35% специалистов, а основная масса анкетируемых (40%) устраняет их в течение недели. Сохранилась общая картина по исправлению всех уязвимостей на активах: в основном компании устраняют их за месяц (39%) или за полгода (38%). В больших компаниях (от 3000 сотрудников) вырос показатель исправления критически опасных уязвимостей на важных активах: закрывать их за один-два дня в 2020 г. успевали 26% опрошенных, а в 2022 г. — 37%.

По данным исследования, в качестве главных запросов к VM-системам специалисты отмечают интеграцию с другими решениями для ИБ (62% ответивших), учет принятых компенсирующих мер (52%), поддержку сканирования отечественных ОС и ПО (51%) и уведомления от производителя о самых опасных уязвимостях (51%). При этом отток зарубежных вендоров из России увеличил долю использования свободного ПО (до 43%). Работа с решениями такого типа предполагает, что в компании уже есть специалисты высокого уровня, готовые доработать софт, интегрировать его в существующую инфраструктуру, а самое главное, понимающие, как его поддерживать. При этом важно помнить, что свободное ПО может перестать разрабатываться в любой момент и поддерживать его работу придется своими силами.

По сравнению с 2020 г., в 2022 г. выросло число компаний, использующих специализированное ПО для работы с уязвимостями (26% против 11%). При этом половина опрошенных используют российские коммерческие решения для управления уязвимостями (VM-решения), 18% специалистов применяют иностранные продукты, но планируют миграцию на отечественные, а 8% ответивших не собираются отказываться от зарубежных решений.

Около 70% специалистов ищут информацию о новых уязвимостях на новостных ресурсах, у 46% опрошенных основной источник информации — это БДУ ФСТЭК, 27% компаний пользуются Национальной базой данных уязвимостей США (NVD). Организации, независимо от размера, предпочитают использовать БДУ ФСТЭК вместо NVD. Только крупные компании (более 10 000 сотрудников) в равной степени пользуются как БДУ ФСТЭК, так и NVD (43% и 43% соответственно). На сообщения от вендора ориентируются 57% опрошенных из банковских организаций, 53% — из госкомпаний и 50% — из ритейла. Компаниям, которые не получают информацию непосредственно с продуктом из-за ограниченной функциональности решения или из-за приостановки обновлений, мы рекомендуем самостоятельно искать сведения об уязвимостях на сайтах вендоров.

Отвечая на вопрос о трудностях взаимодействия ИТ-подразделений и специалистов по ИБ, 27% респондентов сказали, что используют проактивный подход к устранению уязвимостей, при котором ИТ-подразделение компании регулярно устанавливает патчи или обновления ОС и ПО, не дожидаясь информации об уязвимостях от службы ИБ. Опрос показал, что чем больше компания, тем чаще она применяет этот подход. Около 28% специалистов действуют реактивно: ИТ-подразделение устанавливает патчи или обновления ОС и ПО после того, как служба ИБ предоставит информацию об обнаруженных уязвимостях и сформирует списки активов, ОС и ПО для реагирования. Автопатчинг используют 20% ответивших. В современных реалиях внедрять обновления без тестирований может быть вдвойне рискованнее: лучше доверить эту работу ИТ-отделу, специалисты которого могут протестировать ПО в защищенной среде, знают особенности поддержки текущей инфраструктуры и отслеживают загрузку сервисов.

«Так сложилось, что в российских компаниях отделы ИТ и ИБ не всегда идут навстречу друг другу. Служба ИБ хочет от ИТ-отдела закрытия уязвимостей, а перед департаментом ИТ стоят свои KPI по обслуживанию и поддержанию работоспособности организации, — комментирует Антон Исаев, ведущий специалист отдела развития и продвижения инженерно-технической экспертизы Positive Technologies. — Чтобы наладить их взаимодействие, в MaxPatrol VM была заложена новая концепция совместного выстраивания патч-менеджмента. Теперь ИТ-отдел сможет общаться со службой ИБ на своем языке, рассказывая об уже существующих у себя процессах обновления инфраструктуры. Специалисты по ИБ, в свою очередь, перестанут терзать департамент ИТ массовыми отчетами о найденных уязвимостях, а вместо этого смогут подсвечивать системы, выпадающие из процесса обновления, и договариваться о новых сроках планового патч-менеджмента».

По данным исследования, больше всего времени у специалистов уходит на анализ результатов сканирования (64%) и проверку устранения уязвимостей (47%). Также к трудоемким задачам 42% специалистов отнесли убеждение ИТ-отдела в необходимости закрыть уязвимости. Указанные трудности характерны как для больших, так и для малых компании?. Трудоемкость анализа результатов сканирования отметили 65% представителей крупного бизнеса, 69% среднего и 57% малого.

***

Positive Technologies — разработчик решений для кибербезопасности. Его технологии и сервисы используют более 2300 организаций по всему миру, в том числе 80% компаний из рейтинга «Эксперт-400».