Компания Positive Technologies провела опрос среди экспертов по ИБ с целью выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских организациях. В опросе участвовали специалисты по ИБ из госсектора (22%), кредитно-финансовых организаций (17%), промышленных (17%) и IT-компаний (16%), ТЭК (9%) и других отраслей (19%).
Как показал опрос, больше всего времени специалисты по ИБ тратят на разбор результатов сканирования на наличие уязвимостей в IT-инфраструктуре и на попытки убедить IT-специалистов в необходимости установить обновления (так ответили 48% респондентов). Кроме того, прослеживается тенденция: чем больше компания, тем сложнее специалистам по ИБ договориться с IT-отделом. Если для представителей малого бизнеса наиболее трудоемкий процесс — анализ результатов сканирования (50% респондентов), то для представителей среднего и крупного бизнеса это согласование установки обновлений (55% и 56% соответственно).
Также к трудоемким задачам 31% специалистов отнесли проверку устранения уязвимостей (это характерно как для больших, так и для малых компаний).
В ходе опроса 11% респондентов рассказали, что им приходится отдельно обосновывать устранение каждой уязвимости. При этом 11% опрошенных не проверяют, устранил ли IT-отдел обнаруженные уязвимости. Это говорит о том, что во многих российских компаниях отсутствует такой важный этап процесса vulnerability management, как контроль уровня защищенности IT-активов.
Не все специалисты спешат устанавливать обновления — каждый десятый опрошенный ответил, что в его компании критически опасные уязвимости на важных активах не устраняются более полугода. Компании затягивают с обновлениями, в то время как злоумышленники действуют быстро и адаптируют новейшие эксплойты для своих атак иногда в течение суток.
«Управление уязвимостями должно быть эффективным как в штатном режиме, так и при экстренной проверке. Мы попросили респондентов ответить, чтó они будут делать в первую очередь, если узнают о новой серьезной уязвимости в ПО. Половине опрошенных понадобится провести дополнительное сканирование, чтобы узнать о существовании в сети уязвимого ПО, 19% смогут сразу принять меры по защите компании. Учитывая сложный процесс согласования полноценного сканирования во многих компаниях, оперативно узнать, опасна ли новая уязвимость для инфраструктуры, будет затруднительно. Эффективнее, если система управления уязвимостями сохраняет информацию о просканированных активах и может высчитывать применимость новой уязвимости к сети автоматически на основании прошлого сканирования», — рассказала Анастасия Ляшенко, менеджер по продуктовому маркетингу компании Positive Technologies.
Опрос показал, что в процессе vulnerability management специалисты по ИБ сталкиваются со множеством сложных задач.