Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций. Однако в условиях стремительно меняющегося киберландшафта, ухода зарубежных поставщиков и перехода на отечественные решения процесс управления уязвимостями в России приобретает ряд уникальных особенностей.

Управление уязвимостями – это процесс непрерывного цикла, состоящий из пяти основных этапов: инвентаризация, категоризация, приоритезация, устранение и контроль. Услуги по управлению уязвимостями можно классифицировать по типу исследуемых объектов: сканеры внутренней инфраструктуры, внешнего периметра, веб-приложений, анализаторы кода и т.д.

В нынешних реалиях сканирование уязвимостей внешнего периметра становится наиболее востребованной услугой, так как он представляет собой первую линию обороны перед потенциальными злоумышленниками. Совокупность всех возможных векторов атак на внешний периметр организации называется "поверхностью атаки" (Attack Surface).

Обзор рынка управления поверхностью атак в России

Рынок управления поверхностью атак сформировался на основе рынка систем и сервисов по управлению уязвимостями. Сам термин "поверхность атаки" пришел к нам из-за рубежа. Название процессу дал Gartner в 2021 г. – "External Attack Surface Management" (EASM), где слово "External" указывает на то, что речь идет об атаках на внешний периметр.

На российском рынке существует примерно пятнадцать отечественных игроков, предлагающих системы и сервисы по управлению поверхностью атак.

Их можно разделить на три основных типа решений.

1.           Сервисы непрерывного внешнего тестирования на проникновение (Continuous Penetration Testing, CPT).

2.           Сервисы непрерывного мониторинга внешнего периметра (Continuous Monitoring/Vulnerability Management, CM/CVM).

3.           Сервисы управления поверхностью/площадью внешних атак (External Attack Surface Management, EASM/ASM).

Первоначально разница между этими типами решений была обусловлена дополнительными опциями к стандартному сканированию активов и уязвимостей.

CPT – сервисы с интегрированными, а зачастую и автоматизированными работами по эксплуатации уязвимостей, попытками прорыва периметра, являющимися, в том числе, частью работ внешнего тестирования на проникновение.

CM/CVM – платформы для сканирования, мониторинга и контроля внешнего периметра, делающие упор на непрерывную высокочастотную инвентаризацию активов на внешнем периметре и их уязвимостей.

ASM/EASM – платформы мониторинга и сканирования уязвимостей внешнего периметра, включая теневую инфраструктуру и незадокументированные источники.

В результате планомерного развития практически все сервисы включают в себя полный спектр возможностей, а различия между ними носят скорее назывательный характер.

Спрос на управление поверхностью атак становится все более актуальным в современных организациях, что связано с несколькими ключевыми тенденциями.

Во-первых, наблюдается растущий интерес к знаниям об информационной безопасности. Многие компании, имея полноценные ИТ-отделы, еще не создали выделенные ИБ-отделы или не назначили специалистов, отвечающих за эту сферу. Тем не менее, наличие критичного внешнего периметра заставляет их задумываться о необходимости обеспечения безопасности. Здесь на помощь приходит сервис ASM, который предоставляет ИТ-отделам важные рекомендации по устранению уязвимостей внешнего периметра, включая конкретные действия, например, установку определенных версий программного обеспечения или патчей.

Во-вторых, спрос на квалифицированные ИБ-кадры демонстрирует рост. ASM становится особенно ценным в компаниях, где уже имеется ИБ-отдел, но он еще недостаточно большой. Сервис позволяет освободить важные ресурсы организации, значительно повышая эффективность работы команды.

В-третьих, компании с разветвленной ИБ-структурой испытывают потребность в повышении эффективности процессов устранения уязвимостей. Для этого необходимо наладить выполнение рутинных задач, чтобы сосредоточить усилия на более сложных вопросах. Сервис ASM берет на себя разбор и верификацию активов и уязвимостей, что позволяет сотрудникам сосредоточиться на более стратегических задачах.

Таким образом, спрос на управление поверхностью атак актуален и понятен, ведь он отвечает потребностям организаций, стремящихся повысить уровень своей безопасности.

Управление поверхностью внешних атак

Чтобы выстроить полноценный процесс выявления уязвимостей на внешнем периметре, необходим контроль поверхности внешних атак, который является ключевым элементом VM. Для нивелирования количества уязвимостей и векторов атак требуется большой объем ручного труда, специализированное ПО и интеграция различных систем.

Привлечение специализированных партнеров и услуг аутсорсинга позволяет компаниям получить ряд следующих существенных выгод:

·       не надо использовать какие бы то ни было on-prem-сканеры уязвимостей, тратить ресурсы на их администрирование, сопровождение и размещение;

·       не надо выделять команду аналитиков уязвимостей для разбора ложноположительных срабатываний и верификации получаемых многостраничных отчетов;

·       не надо отслеживать все уязвимости, появляющиеся по всему миру;

·       не надо тратить ресурсы на определение критичности найденных уязвимостей;

·       не надо искать, каким именно патчем ПО, политикой безопасности или какими компенсирующими мерами закрывать уязвимость;

·       не надо отслеживать закрытие уязвимости.

Управление поверхностью внешних атак позволяет системно выстроить процесс выявления и управления уязвимостями внешнего периметра. В рамках инвентаризационного сканирования решение проверяет заданный перечень IP-адресов с определением открытых портов (TCP/UDP), определяет доступные сервисы на открытых портах и хостах, а также их версии; предоставляет сравнительный анализ выявленных сетевых узлов, портов, изменений относительно результатов предыдущего сканирования.

Данные доступны для просмотра в личном кабинете сервиса и обновляются до одного раза в день. Актуальный статус внешнего периметра, новые обнаруженные и устраненные уязвимости и уровень их критичности отражаются в формате дашбордов.

Для обнаружения уязвимостей используются сетевые сканеры, инструменты для инвентаризации, анализ внешних ресурсов. Все выявленные уязвимости с оценкой критичности "средний" и выше верифицируются экспертами, которые готовят рекомендации для устранения недостатков.

Подходы к сбору и анализу данных могут различаться: возможно использование одного решения или набора сервисов. Главное – получение на выходе четких рекомендаций по устранению уязвимостей.

После построения процесса управления поверхностью атак, ключевыми показателями эффективности (KPI) становятся определение наличия всех уязвимостей и установка грамотного приоритета их устранения с фиксированным и контролируемым сроком выполнения работ.

Потенциал роста рынка управления уязвимостями

Рынок услуг управления поверхностью атак показывает потенциал для стремительного роста. Это обусловлено двумя ключевыми факторами.

Во-первых, количество ИТ-систем, серверов и приложений будет опережать рост числа специалистов, способных грамотно их администрировать.

Во-вторых, современные требования к скорости разработки ПО непреднамеренно увеличивают количество уязвимостей, и в дальнейшем роль этого фактора будет только расти.

Перечень новых объектов потенциальных атак постоянно растет за счет подключения внешних сервисов, расширения функционала приложений, внедрения Enterprise, решений Open Source.

Каждый этап обновления инфраструктуры несет риск появления новых уязвимостей или неверно настроенных систем, что может влиять на критичные аспекты деятельности или бизнес-процессы компании в целом.

Информационная безопасность становится гонкой технологий, где необходимо вести поиск и исследование уязвимостей, а также разновидностей атак на инфраструктуру бизнеса. Защита критической инфраструктуры компании и ее данных возможна при условии, что ее технологии находятся на шаг впереди технологий потенциальных злоумышленников, чтобы предупреждать возможные угрозы.

В данном контексте грамотный подход к обеспечению информационной безопасности, включающий управление поверхностью атак, становится критически важным для современных организаций.

Основная задача компаний, которые хотят обеспечить надежную защиту своих ресурсов и спокойно смотреть в будущее, – внедрение проактивного подхода к информационной безопасности, который опережает появление новых уязвимостей и векторов атак.

30.10.2024 13:37:00

Другие публикации

Мошенники начали активно взламывать и массово скупать аккаунты пользователей в маркетплейсах

В российском сегменте интернета в последние несколько месяцев фиксируется существенное увеличение интереса злоумышленников и киберпреступников к учётным записям российских пользователей на различных маркетплейсах

актуально

22.01.2025

Создание систем безопасности: можно ли говорить о готовности КИИ к современным угрозам ИБ?

С 1 января 2025 г. организациям, являющимся субъектами критической информационной инфраструктуры (КИИ) РФ, запрещается использовать средства защиты информации и сервисы по обеспечению информационной безопасности, странами происхождения которых выступают недружественные России иностранные государства либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств.

актуально

20.01.2025

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах