Раз уж меня не будет на онлайн-конференции AM Live по Vulnerability Management‑у, поотвечаю на вопросы из программы здесь (1/3). 😉
Часть 1. РЫНОК СИСТЕМ УПРАВЛЕНИЯ УЯЗВИМОСТЯМИ В РОССИИ
1. Что входит в современное понимание процесса управления уязвимостями (Vulnerability Management)?
Управление уязвимостями это их детектирование и исправление. Остальное всё опционально. Вон Holm Security считают, что в современном Vulnerability Management решении обязательно должен быть Антифишинг встроенный. И чего теперь, не будем VM-решения без встроенного Aнтифишинга за современный VM считать? 🙂 Не ведитесь на маркетинг, обращайте внимание на главное — качество детектирование. А на исправление влияет в первую очередь то, как вы договоритесь со своими админами/девопсами. Коробочное решение за вас это не сделает.
2. Каковы основные драйверы рынка управления уязвимостями?
a. Западные VM-решения отвалились, все кинулись активно импортозамещаться.
b. IT-инфраструктура также импортозамещается. VM-вендоры должны за этим поспевать, поддерживать все эти континенты, 1С‑ы, отечественные Linux‑ы и прочее. База знаний отечественного VM решения станет сильно отличаться от западного.
c. Регуляторы стали уделять процессу управления уязвимостями гораздо больше внимания.
3. Усложнился ли процесс управления уязвимостями с уходом из России зарубежных вендоров?
Безусловно. Уход VM-вендоров = отвалившиеся VM-процессы. Уход IT-вендоров = поиски решений, которые могут детектировать уязвимости в импортозамещенных продуктах.
4. Обнаруживать уязвимости можно обычным сканером. Что понимается под непосредственно “управлением”?
См. вопрос 1. Управление активами, оценка и приоритизация уязвимостей это всё доп. функциональность. "Если вы надетектили уязвимости как-то и приняли решение, что с ними дальше делать (устранять, смягчать, оставить как есть) и сделали отчет для начальства, то поздравляю, это уже Vulnerability Management."
5. Vulnerability Management — это непрерывный процесс или набор разовых лимитированных активностей?
Это набор нескольких непрерывных процессов. "Все, что в "лепестках" должно идти одновременно, параллельно, автоматически. Нет "сканов-ресканов", есть процесс поддержания инвентори/детектов и его улучшения. Разбор и переоценка уязвимостей отдельный процесс. Пушинг их исправления тоже."
6. Как Vulnerability Management связан с Continuous Penetration Testing?
Continuous Penetration Testing это считай сервис сканирования периметра + обработка результатов аналитиками вендора. VM-решение это продукт, а CPT это, по сути, услуга. Также можно спросить: как связан Vulnerability Management и Bug Bounty. Как-то связан: и там уязвимости, и там. Нужно сливать воедино? Если VM-решение позволяет заносить уязвимости из сторонних источников — почему бы и нет.
7. Какими функциями обладают системы (платформы) управления уязвимостями?
Основная — детектирование уязвимостей. И любыми дополнительными на усмотрение маркетологов. Из дополнительных самая полезная это автоматический патчинг, кто это делает — респект.
8. Можно ли управлять уязвимостями без специальных систем?
Без качественных средств детектирования уязвимостей очень тяжко. Если есть продетектированные уязвимости, остальное можно накодить самим или взять open source решение.
9. Какие сотрудники компании должны быть вовлечены в процесс управления уязвимостями?
ТОП‑ы, ИБ-подразделение, ИТ-подразделение. У PT про это хорошо расписано.
10. Как выглядит процесс управления уязвимостями в специализированной системе?
Вжух-вжух и сидишь, кайфуешь. 😆 По-всякому оно выглядит. Особенно если не веришь на слово вендору, сравниваешь результаты нескольких детектирующих решений, а потом упорно доказываешь через тикеты, что в детекте проблемы.
11. Как обосновать покупку системы управления уязвимостями?
Совсем без средств детектирования уязвимостей не узнаешь состояние инфраструктуры и она будет деградировать в полнейшее решето. Другое дело какое именно решение брать — тут могут быть варианты. Сочетание "грамм-градус-копейка" для всех будет разным.