Тренды Vulnerability Management

Кризис NVD

NVD (National Vulnerability Database, национальная база уязвимостей) — один из ключевых ресурсов для ИБ-специалистов и производителей VM-решений. База обеспечивает централизованный сбор, идентификацию и оценку уязвимостей всевозможного софта и оборудования. Однако в последние годы наметился так называемый кризис NVD, который влияет на качество, актуальность и полноту представленных в ней данных. 

Причины кризиса:

1. Перегрузка информацией. Количество уязвимостей растет экспоненциально: традиционные методы обработки данных перестают справляться с потоком информации (раз, два).
2. Ограниченные ресурсы и устаревшая инфраструктура. NVD управляется государственными структурами, которые не успевают модернизировать инфраструктуру базы с учетом роста количества данных.
3. Слабая интеграция с другими источниками. Несмотря на существование множества открытых и коммерческих источников информации об уязвимостях, NVD не всегда оперативно и полно интегрирует представленные в них данные.

Как результат, организации, опирающиеся на NVD при оценке рисков, принимают решения на основе неактуальных или неполных данных — это может привести к появлению незакрытых уязвимостей. Кроме того, ситуация вызывает беспокойство VM-специалистов. NVD долгое время была основным источником информации о CVE, CVSS, CWE и CPE: многие популярные процессы и инструменты заточены под использование именно ее данных. Теперь сообществу приходится искать альтернативные источники информации и способы обработки данных. 

Отмечу, что проблема затрагивает и российский рынок, поскольку многие компании по-прежнему используют иностранный софт. Однако в России уже появилась собственная БДУ ФСТЭК, в которой содержатся данные об уязвимостях. Изначально она была ориентирована на именно на отечественное ПО, но со временем стала пополняться информацией и о зарубежном софте (например, nginx, Google Chrome, Apache). На мой взгляд, нужно продолжать развивать и поддерживать БДУ ФСТЭК: налаживать процессы поиска и публикации уязвимостей, а также оперативно направлять информацию регуляторам. Пока этот процесс отлажен не так хорошо.

Регуляторика в сфере управления уязвимостями

За последние годы в мире появилось более 20 документов, регулирующих VM-отрасль и способствующих формированию централизованных систем управления уязвимостями. Например:

• NCSC Руководство по управлению уязвимостями (Великобритания, 2023). Документ фокусируется на процессе управления уязвимостями и подчеркивает важность разработки и внедрения политики раскрытия недостатков безопасности, которая позволяет сторонним исследователям сообщать об обнаруженных проблемах. 
• Директива NIS 2 (ЕС, 2022). Существенно расширяет список организаций, которые обязаны соблюдать требования по обеспечению кибербезопасности, и вводит жесткие санкции за их нарушение. Теперь это не только крупные корпорации, но и представители SMB-сегмента. Среди ключевых положений: обязательное уведомление о киберинцидентах, регулярные аудиты и внедрение мер по управлению рисками. 

В свою очередь, в России в 2023 г. появились рекомендации ФСТЭК, определяющие алгоритмы поиска, оценки и устранения уязвимостей в ИТ-системах. По сути, это первая отечественная VM-методология, выпущенная на государственном уровне. Документ оказал значительное влияние на российский рынок и заметно подстегнул интерес к VM в целом. К примеру, при запуске первой версии MaxPatrol VM мы нередко сталкивались с непониманием: «Зачем вообще нужна отдельная система и какие-то процессы? У нас есть сканер, мы формируем отчеты по найденным уязвимостям и просто передаем их в ИТ-отдел. Все остальное — не наша работа…» Теперь ситуация изменилась. Многие на рынке восприняли рекомендации ФСТЭК как best practice, а некоторые отрасли начали использовать их при разработке нормативных документов. 

Яркий пример — стратегические документы Банка России 2023–2024 гг., в которых уделяется значительное внимание кибербезопасности в финансовом секторе (мониторингу угроз, автоматизации обновления ПО и др.). Кроме того, в 2022 г. появился регламент НКЦКИ, который помогает принимать решения по патч-менеджменту, а также методические рекомендации ФСТЭК по приоритизации уязвимостей, учитывающие не только метрику CVSS, но и особенности инфраструктуры. 

Также следует обратить внимание на появление в России стандартов, регламентирующих процессы безопасной разработки. Описанные в них практики помогают сокращать количество уязвимостей в продуктах и тем самым влияют и на сферу VM. 

Тенденции развития VM-продуктов

Здесь ситуация в России схожа с другими странами. Крупные организации все чаще делают выбор в пользу интегрированных решений, в которых процессы обнаружения и устранения уязвимостей тесно связаны с патчингом. В целом компании стремятся минимизировать время устранения проблем безопасности с помощью автоматизированных инструментов и грамотного патч-менеджмента.

Основные тренды в развитии VM-систем: 

1.    Платформенность. Современные решения объединяют разные защитные механизмы и позволяют не только сканировать системы на наличие уязвимостей, но и проводить патч-менеджмент, оценивать риски на основе фидов и т. д.

2.    Автоматизация и интеграция. VM-продукты стремятся к полной интеграции с другими ИТ- и ИБ-решениями для автоматического выполнения важных операций. 

3.    Искусственный интеллект и машинное обучение. ML-технологии позволяют эффективнее анализировать большие объемы данных, обнаруживать аномалии, повышать риск-скор и автоматизировать процесс поиска уязвимостей.

4.    Облачные решения и SaaS. Многие вендоры уже движутся по этому пути, например Qualys VMDR.

Последние три года в России наблюдается настоящий бум в области VM-продуктов. На рынке уже есть несколько новых решений, в ближайшем будущем их станет еще больше. Среди главных плюсов отечественных VM-платформ можно отметить поддержку российских ОС и ПО, а также официальную сертификацию ФСТЭК.