Positive Technologies

Как изменилась работа с уязвимостями в 2022 году

Как изменилась работа с уязвимостями в 2022 году

Рост числа кибератак на российский бизнес и ущерба от них в 2022 году потребовал от отделов ИБ не только оперативных действий, но и пересмотра существующих подходов. В июне мы провели опрос среди специалистов по ИБ. Нашей целью было узнать, как в российских компаниях работают с уязвимостями IT-инфраструктуры, и проверить, изменился ли подход к построению процесса vulnerability management (VM) за текущий год. Эта информация позволяет понять, какие проблемы волнуют специалистов по ИБ и с какими ограничениями они сейчас сталкиваются. В опросе участвовали представители IT-компаний, госсектора, кредитно-финансовых организаций, ТЭК и промышленных компаний.

Опрос был размещен на официальном сайте Positive Technologies, интернет-порталах, посвященных ИБ, в социальных сетях, тематических чатах и Telegram-каналах, совокупная аудитория которых составила 200 000 человек.

Ключевые результаты

В последние месяцы российские компании оказались в эпицентре кибератак и, как следствие, стали ответственнее подходить к защищенности своей инфраструктуры. По сравнению с исследованием 2020 года сократилась доля компаний, не использующих специализированное ПО для работы с уязвимостями (11% против 26%).

  • 74% специалистов изменили свой подход к патч-менеджменту с февраля 2022 года. К поставляемым обновлениям систем специалисты теперь относятся с повышенным вниманием: четверть опрошенных решили приостановить установку обновлений совсем, а еще четверть — увеличили сроки тестирования ПО.
  • 50% респондентов отметили, что сейчас используют российские коммерческие VM-решения, 18% планируют переход с иностранных продуктов на отечественные. Также уход зарубежных вендоров с российского рынка увеличил процент использования решений open source (до 43%).
  • Изменения на рынке повлияли и на требования к VM-системам. Больше всего от продуктов сейчас ждут интеграций с другими ИБ-решениями (61%), учета компенсирующих мер (52%), а также возможности сканирования отечественных ПО и ОС (51%).
  • 70% опрошенных узнают о новых уязвимостях на новостных ресурсах, 46% специалистов пользуются для этих целей БДУ ФСТЭК, а иностранной базой NVD — всего 27%. Больше половины опрошенных считают, что VM-решение должно присылать уведомления о новых уязвимостях от вендора.
  • Проблемы с организацией патч-менеджмента остаются у каждого десятого респондента. Как и в результатах опроса 2020 года, 10% респондентов отметили, что не успевают устранить опасные уязвимости на важных активах в течение полугода.
  • 27% специалистов ответили, что выстроили проактивный подход в устранении уязвимостей: в компании введен общий регламент, по которому IT-специалисты обновляют ПО, не дожидаясь запроса от специалистов по ИБ. Так ИБ не погрязнет в запросах на тикеты и сможет контролировать соблюдение сроков устранения уязвимостей, а IT видит весь фронт работ и понимает, что нужно делать. Чем крупнее компания, тем выше процент применения именно этого метода.

MaxPatrol VM: управление уязвимостями под контролем

Полноценный процесс vulnerability management и защита от реальных угроз

Узнать больше

Кто участвовал в опросе

Отрасли. Какой сектор экономики представляет ваша компания?
Размер компаний. Сколько сотрудников работает в вашей компании?

Теперь иначе? Как работают с уязвимостями в России

Инструменты специалиста по ИБ

В первом квартале 2022 года российский рынок столкнулся с массовым уходом зарубежных производителей ИБ-решений. Их клиентам пришлось срочно выбирать: мигрировать на ПО отечественных вендоров, надеяться на возвращение зарубежных решений или переходить на опенсорсные продукты.

В качестве альтернативы среди российских решений в сегменте управления уязвимостями есть простые сетевые сканеры уязвимостей, рассчитанные на небольшую инфраструктуру (до 2000 узлов), и комплексные системы анализа защищенности для распределенных крупных организаций. Есть еще VM-решения, которые, кроме расширенного сканирования, обладают функциями, помогающими специалисту по ИБ приоритизировать уязвимости, контролировать устранение угроз, отслеживать состояние наиболее важных активов сети и мониторить общий уровень защищенности организации. Рынок продуктов этого класса довольно узкий.

Необходимость таких продуктов подтверждают и участники отрасли.

«Большинство отечественных решений выполняют только функцию vulnerability assessment, то есть выявления уязвимостей. Они решают задачу регулярного сканирования, однако важно, чтобы обработка уязвимостей в компании на этом не заканчивалась, а переходила в установку обновлений или принятие компенсационных мер, — комментирует Михаил Шеховцов, начальник службы ИБ, „ЦИБ МО“. — После сканирований специалист по ИБ проводит категоризацию и приоритизацию выявленных уязвимостей, а также совместно с департаментом IT формирует план устранения уязвимостей. Классическому ИБ-специалисту может существенно упростить жизнь средство анализа защищенности, которое включает в себя инструменты для полного сопровождения жизненного цикла уязвимости».

Мы спросили специалистов по ИБ, какими VM-решениями они пользуются сейчас. Половина опрошенных используют российские коммерческие решения, 18% специалистов применяют иностранные продукты, но планируют миграцию на отечественные, 8% ответивших не собираются отказываться от зарубежных решений.

Какие продукты вы используете для управления уязвимостями?

Если компании остаются на иностранных решениях и при этом больше не получают обновления базы знаний уязвимостей, то нужно понимать, что такая стратегия повышает риск проникновения злоумышленников в сеть компании. Самостоятельно специалисты по ИБ могут не отследить появление новых опасных уязвимостей на узлах сети. Новые трендовые уязвимости появляются регулярно: например, за лето была обнаружена целая пачка критических уязвимостей (CVE-2022-30158, CVE-2022-30173,CVE-2022-26134, CVE-2022-30190...). Они особо опасны тем, что их легко проэксплуатировать, так как описание уязвимостей и примеры эксплойтов доступны в интернете. К тому же они были обнаружены в ПО популярных поставщиков: Atlassian и Microsoft.

Несмотря на то что обновления ПО можно получить в обход официальных сайтов (уже даже появились соответствующие Telegram-каналы), мы не рекомендуем пользоваться такими ресурсами, так как это может быть небезопасно.

Что касается опенсорсных решений, то ими пользуются 43% респондентов. Отметим, что этот показатель вырос по сравнению с 26% в 2020 году. Работа с такого типа решениями предполагает, что в вашей компании уже есть специалисты высокого уровня, которые готовы доработать софт, интегрировать его в существующую инфраструктуру, а самое главное, понимают, как его поддерживать. Важно помнить о риске, что ПО в любой момент может перестать разрабатываться, тогда поддерживать роадмап придется своими силами.

Часто компании используют комбинацию коммерческих продуктов с решениями open source. Это помогает расширить список сканируемого ПО и количество проверяемых уязвимостей, так как каждый вендор оперирует своей базой. Среди участвующих в опросе 29% отметили, что используют несколько инструментов.

Миграция на новые продукты влечет за собой дополнительные затраты по интеграции в уже сложившуюся экосистему и тестированию на совместимость. Поэтому некоторые компании выбирают как стратегию аутсорсинг или, как 1% участников опроса, разрабатывают ПО самостоятельно.

По сравнению с исследованием 2020 года сократилась доля компаний, не использующих специализированное ПО для работы с уязвимостями (11% против 26%). Возможно, поводом ответственно подойти к вопросам ИБ стал рост кибератак на российские компании: в I полугодии 2022 года количество атак увеличилось на 16% по сравнению с I полугодием 2021 года.

Ставить патчи или принимать риски

В 2022 году российские специалисты по ИБ также столкнулись с тем, что ставить патчи не всегда безопасно — повысился риск внедрения недокументированных возможностей (НДВ) в обновления ПО и добавления механизмов его блокировки. Мы спросили ИБ-специалистов, поменяли ли они процесс патч-менеджмента за последние несколько месяцев.

Только 11% участников исследования не внесли изменения в свой регламент. Совсем радикально поступили 26% опрошенных — они отключили обновления на всех узлах. При таком подходе в инфраструктуре будут накапливаться новые уязвимости, а риск взлома системы злоумышленниками станет выше. Специалистам по ИБ придется выбирать, что страшнее: обновить ПО с потенциально существующими недокументированными возможностями или незакрытые уязвимости. Хорошо, если на важных системах есть средства, способные препятствовать эксплуатации уязвимости. 26% специалистов увеличили сроки тестирования перед установкой обновлений. Когда невозможно проверить все обновления от вендоров на наличие НДВ, оптимальным решением будет усилить тестирование перед установкой и тщательно смотреть на аномальное поведение ПО. Так сделали 30% из опрошенных в ритейле, 38% — из телекоммуникационных компаний, 28% госучреждений, 29% IT-компаний, 28% предприятий из сферы финансов. От размеров компании респондентов результат опроса зависел незначительно.

Изменили ли вы за последние несколько месяцев процесс патч-менеджмента иностранного ПО и решений open source?

Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в апреле 2022 года предложил специалистам по IT и ИБ алгоритм, который помогает принять решение об обновлении ПО. Он учитывает тип уязвимостей, их рейтинг CVSS, расположение и страну производителя ПО, характеристику активов, а также влияние на бизнес-процессы компании. Готовый пакет фильтров с преднастроенными запросами для учета рекомендации НКЦКИ доступен к импорту в новом релизе MaxPatrol VM 1.5.

Как не проспать новую уязвимость

В vulnerability management важно не только выстроить регулярные процессы определения и устранения уязвимостей, но и уметь быстро реагировать на новые опасные уязвимости, а значит, знать об их существовании.

Мы спросили, где специалисты по ИБ ищут информацию о новых уязвимостях. 70% отметили новостные ресурсы, у 46% опрошенных популярным источником информации является БДУ ФСТЭК, национальной базой уязвимостей США пользуются лишь 27%.

Где вы ищете информацию о новых уязвимостях?

Независимо от размера компании анкетируемые предпочитают мониторить БДУ ФСТЭК вместо NVD. Только в крупных компаниях (больше 10 000 сотрудников) эти источники использует примерно равное число респондентов — по 43%.

Доля использования баз уязвимостей ФСТЭК и NVD в компаниях разного размера

Доля использования социальных сетей не сильно варьируется в зависимости от размеров компании.

Доля использования социальных сетей для приоритизации уязвимостей в компаниях разного размера

Конечно, нельзя уверенно сказать, что данные, опубликованные в соцсетях, всегда достоверны, зато можно отследить общую направленность трендов. Отметим, что, согласно исследованиям компании Kenna, эффективность приоритизации уязвимостей по числу их упоминаний в Twitter является одной из самых высоких.

На графике исследователей видно, что лучший результат можно получить, если иметь perfect info — знать, какие уязвимости используются хакерами в реальной жизни, то есть обладать знаниями о трендовых уязвимостях.

Эффективность различных методов приоритизации уязвимостей
Эффективность различных методов приоритизации уязвимостей

Сообщениями от вендора пользуются 57% опрошенных из банковских организаций, 53% — из госкомпаний и 50% — из ритейла. Тем, кто не получает информацию непосредственно в продукте из-за ограниченной функциональности решения или из-за приостановки обновлений, рекомендуем самостоятельно искать дополнительную информацию об уязвимостях на сайтах вендоров.

Оценка уязвимостей

Одна из главных задач специалиста по ИБ в vulnerability management — правильная приоритизация уязвимостей. По итогу сканирования специалисты сталкиваются с огромным списком уязвимостей, устранить их все точно не получится. Важно определить, что стоит закрыть в первую очередь.

52% респондентов пользуются для приоритизации уязвимостей оценкой CVSS. В нашем прошлом исследовании процент доверяющих оценке CVSS был примерно такой же (57%).

45% процентов анкетированных отметили, что фильтруют уязвимости по степени влияния уязвимого сервиса на бизнес-процессы. В прошлом опросе фильтрацию по степени важности актива проводили 46% опрошенных. При таком подходе специалист должен заранее оценить, что произойдет, если злоумышленник воспользуется уязвимостью на конкретном активе, насколько это опасно для ключевых функций компании, а также понять, какие привилегии требуются злоумышленнику для эксплуатации этой уязвимости.

Главное, чтобы под проверку попадала вся инфраструктура компании, так как уязвимости на неизвестных активах могут повлиять на общий уровень защищенности. Такую фильтрацию используют 57% из опрошенных крупных компаний (с численностью сотрудников более 10 000) и только 35% из опрошенных небольших организаций (до 250 сотрудников).

Как вы приоритизируете уязвимости?

Большинство опрошенных отметили несколько методов приоритизации уязвимостей. Такую практику мы считаем более выгодной. Из тех, кто отметил только один метод, 35% доверяют оценке по CVSS, 23% опираются на метрику вендора, 21% самостоятельно проводят экспертные оценки, 19% фильтруют по важности активов, 1% проверяют наличие эксплойта и 1% указали другое.

Скорость устранения уязвимостей

Новое исследование Palo Alto Networks показало, что у IT-специалистов остается крайне мало времени на патчинг уязвимостей. Оказалось, что киберпреступники сканируют уязвимые узлы в течение 15 минут с момента публикации данных об очередной CVE.

Сканирование узлов за 15 минут еще не означает, что за это время злоумышленники смогут атаковать компанию. Как показывает практика, на это им нужно больше времени, так как после выявления уязвимых узлов еще нужно найти рабочий эксплойт, преодолеть сетевой периметр и получить доступ к ключевым сегментам сети. Чтобы быть на шаг впереди злоумышленников, компании должны на постоянной основе проводить тактические мероприятия по защите, в том числе определение ключевых бизнес-процессов и недопустимых событий в их системах, управление киберрисками, инвентаризацию и контроль периметра и, конечно, киберучения и повышение квалификации сотрудников. Кроме того, должен быть выработан алгоритм оперативных мероприятий.

Мы решили проверить, удалось ли компаниям ускорить устранение уязвимостей по сравнению с 2020 годом.

Каков средний срок устранения уязвимостей?

Критически опасные уязвимости на важных активах

Статистика по критически опасным уязвимостям немного изменилась. В 2020 году 39% опрошенных успевали устранить критически опасные уязвимости на приоритетных для компании активах за один-два дня. В 2022-м закрывать уязвимости за один-два дня успевают только 35% специалистов, а основная масса анкетируемых (40%) тратит на это около недели.

Критически опасные уязвимости на всех активах

По критически опасным уязвимостям на всех активах ситуация почти не изменилась, но теперь за неделю их успевают устранить 39% (против 35% в 2020-м).

Все уязвимости на всех активах

Общая картина по устранению всех уязвимостей на всех активах осталась почти без изменений. В основном компании устраняют их за месяц (39%) или за полгода (38%).

Далее рассмотрим, изменилась ли зависимость скорости устранения уязвимостей̆ от размеров компании.

Срок устранения критически опасных уязвимостей на важных активах за 1-2 дня

В 2020 году в маленьких компаниях (до 250 сотрудников) критически опасные уязвимости на важных активах успевают устранять за два дня 47% респондентов, в 2022 году только 36% специалистов, но процент уязвимостей, просроченных на полгода, остался прежним (6%). Критически опасные уязвимости на всех активах в основном успевают устранять за неделю (48% в 2022 году и 44% в 2020-м).

В средних по размеру компаниях (от 250 до 3000 сотрудников) важные активы в 2020 году успевали защитить за два дня 45% опрошенных, а в 2022-м — 33%. При этом критически опасные уязвимости на обычных активах ранее устранялись в основном за месяц (40%), а теперь за неделю (36%).

В больших компаниях (от 3000 сотрудников) вырос показатель устранения критически опасных уязвимостей на важных активах. Закрывать такие уязвимости за один-два дня в 2020 году успевали 26% опрошенных, а в 2022-м — 37%. Уязвимости на обычных активах устранялись в основном (37%) за месяц, теперь 40% специалистов их устраняют за месяц, а 34% — за неделю.

Получается, что в 2022 году скорость устранения критичных уязвимостей на важных активах не особо зависит от размера компании. Чтобы правильно оценить скорость устранения уязвимостей и быть уверенным, что IT ее соблюдает, необходимо иметь четкие договоренности между службами IT и ИБ. Для их формирования нужно сначала определить, как часто IT-специалисты могут что-то обновлять для каждой группы активов, а уже потом зафиксировать регламент патч-менеджмента.

Нет однозначных советов, какие именно сроки нужно указывать, они определяются практикой и путем долгих переговоров. Главное — регулярно проверять, как выполняются существующие договоренности. Если в процессе эксплуатации есть регулярные отклонения, то нужно искать причину.

Договоренности IT- и ИБ-отделов

За устранение уязвимостей̆ (обновление версий ПО, установку патчей) и применение компенсирующих мер (выключение сервисов, закрытие портов на межсетевых экранах) отвечает, как правило, IT-подразделение. Поэтому для результативной работы с уязвимостями ИБ-специалистам важно грамотно выстроить взаимодействие с коллегами.

8% респондентов усложняют работу IT-отделу: отправляют список выявленных уязвимостей в IT-отдел без фильтрации и оставляют решение о порядке их устранения за ним же. Эта дополнительная нагрузка на IT-специалистов может привести к тому, что в большом потоке неотфильтрованных уязвимостей будут пропущены критичные для бизнеса.

У 14% обратная ситуация, когда IT-отдел заставляет специалистов по ИБ заводить тикет в его системе по каждой обнаруженной уязвимости. 32% из ответивших при этом указали, что тратят на задачи VM до 10% рабочего времени. Невыясненным остается вопрос, как они успевают обработать и открыть заявки на весь поток уязвимостей.

27% респондентов используют проактивный подход в устранении уязвимостей: IT-подразделение регулярно устанавливает патчи или обновления ОС и ПО, не дожидаясь информации об уязвимостях от службы ИБ. В нашем опросе мы заметили, что чем крупнее компании, тем выше среди них процент применяющих данный подход.

Применяют реактивный подход в управлении уязвимостями

Чуть-чуть больше — 28% специалистов — применяют реактивный подход: IT-подразделение устанавливает патчи или обновления ОС и ПО после того, как служба ИБ предоставит информацию об обнаруженных уязвимостях и сформирует списки активов, ОС и ПО для реагирования.

Автопатчинг используют 20% ответивших. В текущих реалиях внедрять обновления без тестирования может быть вдвойне рискованно. Мы считаем, что обоснованнее доверить обновление инфраструктуры IT-отделу, который может протестировать ПО в защищенной среде, знает особенности поддержки текущей инфраструктуры и отслеживает загрузку сервисов.

Как вы договариваетесь с IT-отделом об устранении уязвимостей?

Контроль устранения уязвимостей

Один из важнейших этапов vulnerability management, который помогает отшлифовать весь процесс и убедиться в реальной защищенности системы, — контроль устранения уязвимостей.

Благодаря ему специалисты по ИБ проверяют, как соблюдаются сроки патч-менеджмента, а IT видит весь фронт работ и выпавшие из процесса задачи. Если отклонения происходят регулярно, благодаря контролю устранения уязвимостей команды смогут их отследить и провести ревизию сроков.

38% специалистов проверяют закрытие только при основном сканировании. Так ответило 52% представителей финансовой отрасли, 43% представителей из IT-компаний и 43% — из ТЭК.

Если наличие (или отсутствие) на узлах сети уязвимостей проверяется только при регулярном сканировании, важно заранее согласовать оперативные действия при появлении новых критически опасных уязвимостей. На согласование очередного полноценного сканирования сети может уходить много времени.

38% специалистов точечно перепроверяют устранение критически опасных уязвимостей. Так поступают 46% представителей государственных компаний, ритейла и промышленности.

12% опрошенных не проверяют, были ли устранены выявленные уязвимости. Тем не менее 62% из них отметили, что опасные уязвимости на критически важных активах устраняются в их компании быстрее чем за неделю. Лучше проверять устранение уязвимостей самостоятельно, чем полагаться на ответственность сотрудников других подразделений.

Как вы проверяете результаты устранения уязвимостей?

Трудозатраты

Как и в прошлом нашем исследовании, мы решили спросить у участников, на что уходит больше всего времени при управлении уязвимостями.

На что уходит больше всего времени в процессе VM?

Участники опроса отметили: больше всего времени у них уходит на то, чтобы проанализировать результаты сканирования (64%), а также проверить, что уязвимости устранены (47%). Также к трудоемким задачам 42% специалистов отнесли убеждение IT-отдела в необходимости закрыть уязвимости.

Эти три направления отмечали и участники опроса 2020 года.

Особая сложность процесса vulnerability management состоит в том, что ИБ нужно научиться работать и находить общий язык с IT-подразделениями, ведь именно они устраняют уязвимости. Чтобы наладить взаимодействие, специалисты по ИБ должны говорить на языке IT — не приносить огромные нефильтрованные отчеты, а подавать структурированную информацию о найденных уязвимостях с указанием понятных способов их устранения. Необходимо контролировать соблюдение регламента обновления инфраструктуры и вовремя отслеживать, какие узлы выпали из общего процесса, то есть остались уязвимы. Процесс патч-менеджмента — это всегда командная работа.

Указанные трудности характерны как для больших, так и для маленьких компаний. Трудоемкость анализа результатов сканирования отметили 65% представителей крупного бизнеса, 69% — среднего и 57% — малого бизнеса.

Какой процент рабочего времени занимают задачи специалиста по ИБ, связанные с VM?

Общая тенденция по распределению трудозатрат сохраняется в компаниях разных размеров.

Распределение трудозатрат на процесс VM в зависимости от размеров компании

Запросы к VM-системам

Нам как вендору было интересно узнать, какие запросы к системам управления уязвимостями есть у реальных пользователей.

62% опрошенных нуждаются в интеграции VM-системы с другими ИБ-решениями, 52% интересуют возможности учета принятых компенсирующих мер, 51% отметили функции сканирования отечественного ПО и уведомлений от вендора о самых критичных уязвимостях.

Меньше всего российские компании на текущий момент заинтересованы в развертывании VM-систем в облаках (16%).

Какими возможностями должно обладать VM-решение для вашей компании?

Повысился спрос пользователей на учет компенсирующих мер, в прошлом нашем исследовании отсутствие этой функциональности в VM-решениях раздражало 36% специалистов. Мы связываем рост с тем, что компании либо потеряли возможность получать обновления, либо боятся применять патчи из-за возможных внедренных НДВ. В результате им чаще приходится использовать другие СЗИ, чтобы препятствовать эксплуатации уязвимостей. Неудобно, когда такие уязвимости постоянно маячат в отчетах.

В систему управления уязвимостями MaxPatrol VM добавлены исключающие политики. Они позволяют задать правила, по которым уязвимость или группа уязвимостей исключается из планового процесса патч-менеджмента. При этом специалист может указать срок действия политики, если нужно будет вернуться к вопросу устранения уязвимости.

Итоги

По результатам опроса мы пришли к выводу, что сейчас одна из самых больших задач для специалистов по ИБ — корректно проанализировать результаты сканирования.

Кроме самого факта выявления уязвимостей в процессе vulnerability management важно принять взвешенное решение о порядке работы с ними, о необходимости обновления ПО.

Значения каких показателей процесса VM вы отслеживаете?

Специалистов по ИБ волнует актуальность данных об активах сети (56%), а также соблюдение регулярности сканирования (55%). Как важный показатель респонденты отметили также количество уязвимостей на важных активах (55%).

2022 год внес большие коррективы в процесс управления уязвимостями. Российские компании были вынуждены искать замену иностранному ПО, в связи с этим мы увидели большой рост использования решений open source. Курс на импортозамещение требует новых возможностей от VM-решений: 42% отметили необходимость установки на российские ОС, а 51% хотят получить поддержку сканирования отечественных ОС и ПО.

Также компаниям пришлось пересмотреть выстроенный процесс патч-менеджмента.