Прочитал хабропост Романа Спицына из UserGate про повышение уровня зрелости ИБ-процессов в организации. Там в основном про SIEM, но про Asset Management и VM тоже есть. Написано очень живенько. 👍 Рефреном идёт мысль, что главная сложность - работа с реальными людьми (которые могут вам всё засаботировать 😏).

Особо понравилось про безусловный патчинг:

"Бонус-трек: Начните, наконец, обновлять операционные системы и используемые приложения. У вас никогда, повторюсь, НИКОГДА не будет достаточно ресурсов, чтобы доказать применимость каждой уязвимости в конкретных условиях вашего окружения. Нет другого решения для большинства компаний, кроме как начать регулярно проводить обновления для ВСЕХ ОС и для всех приложений. Позднее вы, вероятно, начнёте категорировать ваши активы по критичности и управлять приоритетами обновления, но для начала ̶п̶р̶о̶с̶т̶о̶ ̶д̶о̶б̶а̶в̶ь̶ ̶в̶о̶д̶ы̶ примените патчи."

ППКС. Всеми силами внедряйте безусловный патчинг, не играйте в докажи-покажи. 😉

Попался на глаза замечательный пост в паблике "Типичный Сисадмин" про то, как выглядит устранение уязвимостей со стороны IT-специалистов. Всем VM-щикам будет полезно почитать комменты. 😉 Как можно видеть, там обсуждают не то, как эффективнее выполнять задачи на устранение уязвимостей, а то, как лучше от них уклоняться.

Основные приёмы:

📄 Сваливание в бумажную волокиту. Работы не проводятся без служебных записок, завизированных "от генерального до клининга".

😱 Нагнетание страха простоя в случае неудачного обновления.

💰 Запрос бюджета. "Нужно новое железо/ПО - без денег не сделаю".

😏 Дискредитация сканера. "Это false positive, наших активов это не касается, это неэксплуатабельно". Этапы игры в "докажи-покажи".

🤤 Включение дурака. "Без детального мануала не понимаю, как делать". Фактически "как челобитную подаёшь".

Имхо, лучший способ борьбы с этим - формализация. Как VM-процесса, так и связанной аргументации. Не вовлекайтесь в лишние дискуссии, берегите психику! 😉

Разговоры с чудаками и Управление Уязвимостями. Согласен с Алексеем Лукацким, что тратить бесценное время жизни на общение с токсичными чудаками решительно не хочется. Но что делать, если это требуется в рамках рабочего процесса? Например, когда коллеги из IT или бизнеса уклоняются от устранения уязвимостей на своих активах, используя разнообразные риторические приёмы.

Имхо, главное беречь свою психику:

🔹 Стараемся не вовлекаться эмоционально. Наблюдаем за перфомансом токсичного коллеги как психиатр за пациентом. Слушаем, фиксируем, прикидываем "диагноз". На словесные выпады не ведёмся. 👨‍⚕️

🔹 Используем стандартную формальную аргументацию, отсылающую (поэтапно) к политикам организации, требованиям регуляторов и уголовному кодексу. ⚖️👮

🔹 Используем стандартную аргументацию, отсылающую к публичным инцидентам. 👾

🔹 На "докажи-покажи" не ведёмся, а вместо этого методично собираем доказательства, что работы не выполняются и поэтапно эскалируем это на руководство. ⬆️😏