Уязвимости нужен правильный приоритет

18 мая 2022 02:40 #109839 от ICT
Главным слабым местом систем управления уязвимостями является отсутствие аналитических средств. Это серьезным образом мешает выстраивать полноценную систему управления уязвимостями, что усиливает риски. К таким выводам пришли участники обсуждения по управлению уязвимостями на платформе AM Live. Именно незакрытые уязвимости чаще всего открывают путь злоумышленникам для того, чтобы проникнуть в ИТ-инфраструктуру. Цена такого инцидента высока в прямом смысле этого слова. Как напомнил генеральный директор "Эшелон Технологии" Александр Дорофеев, средняя цена выкупа, который требуют злоумышленники за расшифровку данных, составляет $130 тыс. Процесс управления уязвимостями, который позволяет вовремя обнаружить, классифицировать, приоритезировать и устранить уязвимости в программном обеспечении в нынешних условиях актуален, как никогда. Для этого служит целый класс ПО, которому было посвящено обсуждение в ходе конференции на онлайн-платформе AM Live. Главной проблемой, по мнению участников обсуждения, стало устранение выявленных уязвимостей. На это слабое место обратил внимание руководитель направления Vulnerability Management платформы Solar MSS "Ростелеком-Солар" Максим Бронзинский. Линейное устранение уязвимостей, как отметил заместитель генерального директора по ИТ "Алтэкс-Софт" Сергей Уздемир, не работает, поскольку крайне трудоемко и к тому же сопряжено с большим количеством рисков. Ведущий аналитик по ИБ банка "Тинькофф" Александр Леонов обратил внимание на то, что установка патчей требует больших усилий от ИТ-администраторов. Также проблемой является то, что многие сканеры уязвимостей запускаются с правами суперпользователя, что само по себе сопряжено с немалым риском и были прецеденты того, что это приводило к разного рода инцидентам. Серьезным вопросом является ответственность и корректность приоритезации уязвимостей. Поэтому решение данной задачи часто просто саботируется, поскольку никто не хочет брать на себя ответственность. Большой вопрос – своевременное обновление баз знаний. Далеко не всегда данные о недавно обнаруженном эксплоите вовремя туда попадают. В итоге от ручной работы при построении патч-менеджмента не уйти. Положение, как напомнил руководитель направления по развитию решений для управления уязвимостями и мониторинга ИБ Positive Technologies Илья Егоркин, усугубляется дефицит кадров ИБ-специалистов Уязвимости необходимо приоритезировать, а решение этой задачи возможно только вручную. Эффективность работы систем управления рисками при решении данной задачи оставляет желать много лучшего. К тому же, как отметил Илья Егоркин, единым процесс управления уязвимостями является только в теории. На практике же для тиражного, самописного и заказного ПО он строится по-разному. Например, как подчеркнул Сергей Уздемир, необходимо интегрировать процессы управления уязвимостями и безопасной разработки. Максим Бронзинский обратил внимание на то, что существующие системы очень плохо решают задачу приоритезации как уязвимостей, так и ИТ-активов. Также в распределенных инфраструктурах приходится использовать разные инсталляции ПО, но при этом средства агрегации данных отсутствуют. Также, по его мнению, не хватает прозрачности в том, какие алгоритмы разработчики систем управления уязвимостями используют для приоритезации. По мнению Ильи Егоркина, в продуктах по управлению уязвимостями не хватает аналитических инструментов или интеграции с внешними. Александр Леонов считает проблему отсутствия единого дашборда не главной. По его оценке, главное - невозможность проверки качества детекта. Особенно это относится к коммерческому ПО, разработчики которого часто сами не владеют информацией об имеющихся уязвимостях. Однако, Александр Дорофеев порекомендовал следовать рекомендациям регуляторов, в частности ФСТЭК. Серьезной проблемой стал уход зарубежных вендоров. Перед российскими разработчиками встала задача импортозаместить процесс разработки. Как подчеркнул Илья Егоркин, это оказалось непростой задачей. Пришлось заново создавать репозитории и библиотеки, и это помимо создания собственной базы уязвимостей и портирования ПО на отечественные операционные системы. Однако, как подчеркнул Александр Леонов, все равно придется выстраивать отношения с зарубежными вендорами ПО. Ссылка на источник


  • Сообщений: 103417

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Глава РПЛ: надо сохранить правильный баланс между показом футбола на ТВ и в онлайне9.49Пятница, 14 февраля 2020
    SIM-карты «МегаФона» помогут врачам «скорой помощи» Великого Новгорода быстрее ставить правильный диагноз9.2Среда, 01 июля 2015
    Warner обозначила приоритет ОТТ над кабельным ТВ8.3Понедельник, 17 февраля 2020
    Отечественные разработчики софта получат приоритет при госзакупках8.12Четверг, 12 февраля 2015
    «Диджитал Дизайн» провела нагрузочные испытания СДУ «Приоритет»8.12Среда, 26 апреля 2017
    Использование российских спутников компаниям поставили в приоритет8.12Четверг, 06 июля 2017
    «Диджитал Дизайн» представила телеграм-бота для СДУ «Приоритет»8.12Понедельник, 23 октября 2017
    Российские госкомпании могут предоставлять приоритет отечественной продукции8.03Понедельник, 19 сентября 2016
    Мантуров предложил дать российской технике приоритет при майнинге8.03Среда, 06 апреля 2022
    Сайты с мобильной версией получат приоритет в поисковой выдаче Google7.95Понедельник, 02 марта 2015

    Мы в соц. сетях