Positive Technologies: С февраля 74% компаний изменили подход к обновлению ПО и работе с уязвимостями
Positive Technologies провела опрос среди экспертов по ИБ, чтобы выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских организациях и что изменилось в нем с 2020 г. В последние месяцы отечественные компании оказались в эпицентре кибератак, сообщили CNews представители Positive Technologies. Это в числе прочего влияет на то, как организации защищают свою инфраструктуру. С февраля 2022 г. 74% специалистов изменили свой подход к обновлению программного обеспечения: четверть опрошенных решили приостановить установку обновлений, а еще четверть увеличили сроки тестирования ПО.
Как показал опрос, компаниям пришлось пересмотреть выстроенный процесс обновления ПО. Лишь 11% участников исследования не внесли изменения в свой регламент. Радикально к вопросу закрытия уязвимостей подошли 26% опрошенных: они отключили обновления на всех узлах.
«Подход, при котором ПО инфраструктуры не обновляется, грозит накоплением новых уязвимостей, повышается риск взлома системы злоумышленниками, — отмечает Анастасия Зуева, старший менеджер по развитию и продвижению MaxPatrol VM, Positive Technologies. — Выбор сложный: обновлять ПО с риском получить вместе с исправлением недокументированные возможности или не обновлять и копить известные и неизвестные уязвимости. Мы считаем оптимальным решение, при котором компания может выделить ресурсы на тестирование поставляемых патчей. Так делают 30% опрошенных в ритейле, 38% телекоммуникационных компаний, 28% госучреждений, 29% ИТ-компаний, 28% финансовых организаций».
По результатам опроса, изменилась скорость устранения критически опасных брешей в ПО. Если в 2020 г. 39% опрошенных успевали закрыть критически опасные уязвимости на приоритетных для компании активах за один-два дня, то в 2022 г. за тот же период их успевают устранить 35% специалистов, а основная масса анкетируемых (40%) устраняет их в течение недели. Сохранилась общая картина по исправлению всех уязвимостей на активах: в основном компании устраняют их за месяц (39%) или за полгода (38%). В больших компаниях (от 3000 сотрудников) вырос показатель исправления критически опасных уязвимостей на важных активах: закрывать их за один-два дня в 2020 г. успевали 26% опрошенных, а в 2022 г. — 37%.
По данным исследования, в качестве главных запросов к VM-системам специалисты отмечают интеграцию с другими решениями для ИБ (62% ответивших), учет принятых компенсирующих мер (52%), поддержку сканирования отечественных ОС и ПО (51%) и уведомления от производителя о самых опасных уязвимостях (51%). При этом отток зарубежных вендоров из России увеличил долю использования свободного ПО (до 43%). Работа с решениями такого типа предполагает, что в компании уже есть специалисты высокого уровня, готовые доработать софт, интегрировать его в существующую инфраструктуру, а самое главное, понимающие, как его поддерживать. При этом важно помнить, что свободное ПО может перестать разрабатываться в любой момент и поддерживать его работу придется своими силами.
По сравнению с 2020 г., в 2022 г. выросло число компаний, использующих специализированное ПО для работы с уязвимостями (26% против 11%). При этом половина опрошенных используют российские коммерческие решения для управления уязвимостями (VM-решения), 18% специалистов применяют иностранные продукты, но планируют миграцию на отечественные, а 8% ответивших не собираются отказываться от зарубежных решений.
Около 70% специалистов ищут информацию о новых уязвимостях на новостных ресурсах, у 46% опрошенных основной источник информации — это БДУ ФСТЭК, 27% компаний пользуются Национальной базой данных уязвимостей США (NVD). Организации, независимо от размера, предпочитают использовать БДУ ФСТЭК вместо NVD. Только крупные компании (более 10 000 сотрудников) в равной степени пользуются как БДУ ФСТЭК, так и NVD (43% и 43% соответственно). На сообщения от вендора ориентируются 57% опрошенных из банковских организаций, 53% — из госкомпаний и 50% — из ритейла. Компаниям, которые не получают информацию непосредственно с продуктом из-за ограниченной функциональности решения или из-за приостановки обновлений, мы рекомендуем самостоятельно искать сведения об уязвимостях на сайтах вендоров.
Отвечая на вопрос о трудностях взаимодействия ИТ-подразделений и специалистов по ИБ, 27% респондентов сказали, что используют проактивный подход к устранению уязвимостей, при котором ИТ-подразделение компании регулярно устанавливает патчи или обновления ОС и ПО, не дожидаясь информации об уязвимостях от службы ИБ. Опрос показал, что чем больше компания, тем чаще она применяет этот подход. Около 28% специалистов действуют реактивно: ИТ-подразделение устанавливает патчи или обновления ОС и ПО после того, как служба ИБ предоставит информацию об обнаруженных уязвимостях и сформирует списки активов, ОС и ПО для реагирования. Автопатчинг используют 20% ответивших. В современных реалиях внедрять обновления без тестирований может быть вдвойне рискованнее: лучше доверить эту работу ИТ-отделу, специалисты которого могут протестировать ПО в защищенной среде, знают особенности поддержки текущей инфраструктуры и отслеживают загрузку сервисов.
«Так сложилось, что в российских компаниях отделы ИТ и ИБ не всегда идут навстречу друг другу. Служба ИБ хочет от ИТ-отдела закрытия уязвимостей, а перед департаментом ИТ стоят свои KPI по обслуживанию и поддержанию работоспособности организации, — комментирует Антон Исаев, ведущий специалист отдела развития и продвижения инженерно-технической экспертизы Positive Technologies. — Чтобы наладить их взаимодействие, в MaxPatrol VM была заложена новая концепция совместного выстраивания патч-менеджмента. Теперь ИТ-отдел сможет общаться со службой ИБ на своем языке, рассказывая об уже существующих у себя процессах обновления инфраструктуры. Специалисты по ИБ, в свою очередь, перестанут терзать департамент ИТ массовыми отчетами о найденных уязвимостях, а вместо этого смогут подсвечивать системы, выпадающие из процесса обновления, и договариваться о новых сроках планового патч-менеджмента».
По данным исследования, больше всего времени у специалистов уходит на анализ результатов сканирования (64%) и проверку устранения уязвимостей (47%). Также к трудоемким задачам 42% специалистов отнесли убеждение ИТ-отдела в необходимости закрыть уязвимости. Указанные трудности характерны как для больших, так и для малых компаний. Трудоемкость анализа результатов сканирования отметили 65% представителей крупного бизнеса, 69% среднего и 57% малого.
***
Positive Technologies — разработчик решений для кибербезопасности. Его технологии и сервисы используют более 2300 организаций по всему миру, в том числе 80% компаний из рейтинга «Эксперт-400».