За последние полтора года ИТ-периметры организаций так усложнились (один переход на удаленку чего стоит!), что немудрено даже самому опытному ИБэшнику запутаться в этих динамичных лабиринтах. На этом фоне мы решили выяснить, как же сейчас налажен процесс Vulnerability Management (VM) в компаниях: как часто проводится сканирование, где ищут уязвимости, как принимаются решения об установке патчей и может ли сканирование заменить пентест. Результатами нашего опроса делимся в этом посте.
Серию опросов мы проводили в апреле-июне 2021 года в онлайн-формате. В них приняли участие 200 респондентов – представителей компаний из разных отраслей (IT, госсектор, финансы, промышленность, ТЭК, здравоохранение, ритейл и другие). Треть опрошенных – это небольшие компании (до 250 хостов), еще 45% – компании от 250 до 5 тыс. хостов, а 22% – крупные организации, где насчитывается более 5 тыс. хостов. При этом в большинстве компаний (43%) есть собственный полноценный ИБ-отдел. 36% респондентов ответили, что защита от киберугроз находится в ведении ИТ-отдела, а 21% – что этими вопросами занимается один выделенный ИБ-специалист.
Итак, мы выяснили, что управление уязвимостями есть в 70% организаций, но половина из них недовольна устройством этого процесса. Конечно, под VM мы подразумеваем не просто сканирование, но и постоянную инвентаризацию, оценку уровня защищенности сетевой инфраструктуры, разработку рекомендаций по устранению найденных уязвимостей и проверку выполнения этих самых рекомендаций.
Что же до сканирования, то 90% организаций отметили, что сканируют ИТ-периметры для обеспечения реальной кибербезопасности. В то же время для 60% респондентов VM – это способ выполнять требования российских регуляторов (приказ ФСТЭК № 239 требует от субъектов КИИ проводить инвентаризацию информационных ресурсов, аудит и анализ/устранение уязвимостей, а приказ ФСТЭК № 235 требует выявлять уязвимости в значимых объектах КИИ).
Среди других целей сканирования респонденты назвали:
- соответствие требованиям международных стандартов;
- проверку ресурсов сетей, ОС, подключенных устройств, портов;
- создание отчетов, в которых описываются типы уязвимостей;
- поиск различных типов уязвимостей сети и их анализ в режиме реального времени.
Что сканируют
Самым интересными элементами инфраструктуры для сканирования большинство респондентов (45%) считают локальную сеть. Действительно, многие компании понимают, что эксплуатация уязвимостей на внешнем периметре – это лишь первый шаг злоумышленника, а его главная цель заключается в развитии атаки внутри инфраструктуры (для хищения данных, влияния на технологические процессы и т. п.). Радует, что защищенности внутренних сетевых узлов уделяется столько внимания, но сканирование нужно не только внутри.
На втором месте – внешний периметр. Именно здесь встречаются критические и при этом относительно старые уязвимости, некоторые из которых были обнаружены еще лет 10 назад. Среди них баг Heartbleed, который использует ошибки в криптографической библиотеке OpenSSL, уязвимость EternalBlue, через которую в 2017 году хакеры распространяли WannaCry, а также BlueKeep – уязвимость RDP-протокола. Все помнят, какую панику вызвали в свое время эти «динозавры». И пусть вендоры оперативно выпустили обновления, все эти ошибки мы до сих пор встречаем в компаниях разного масштаба и профиля.
Сканирование внешнего периметра стало особенно актуально в период пандемии, так как переход на удаленку и массовая цифровизация бизнес-процессов значительно ослабили ИТ-инфраструктуры. По оценке Solar JSOC, за последний год более чем на 60% выросло число АСУ ТП, доступных из интернета. А количество хостов с уязвимым SMB-протоколом увеличилось почти в 2 раза.
Из исследования видно, что веб-приложения и изолированный контур находятся вне фокуса внимания респондентов. Это тревожно, так как за последний год веб-уязвимости стали значительно чаще использоваться хакерами для проникновения в сети организаций. Например, по нашей оценке, в 2020 году треть всех инцидентов кибербезопасности была связана именно с атаками на веб. По нашим подсчетам, 44% веб-приложений имеют некорректную настройку прав доступа, а 29% – возможности внедрения SQL-инъекций.
Если говорить об изолированном контуре, то автоматические обновления ПО, которые закрывают многие уязвимости, здесь недоступны. В то же время ручной или полуручной процесс установки патчей отсутствует в 90% российских компаний. Это происходит и по организационным причинам (иногда проще ничего не обновлять, чем согласовывать простой оборудования из-за установки патчей), и по техническим (например, при попытках обновить legacy или самописные системы).
Как сканируют
Более 60% опрошенных сканируют всю инфраструктуру раз в квартал или реже. Остальные чаще, а 9% респондентов ответили, что запускают сканер даже несколько раз в неделю.
Анализ критических серверов и АРМ сотрудников проводится чаще. 17% опрошенные запускают сканирование этих элементов несколько раз в неделю, столько же – один раз в неделю, а 26% — раз в месяц. Раз в квартал и реже это делают 40% респондентов.
Трудно дать универсальный совет о том, как часто надо проводить сканирование уязвимостей. Несколько раз в квартал — правильный ответ скорее такой, но все зависит от размера, состава и критичности инфраструктуры, частоты вносимых в нее изменений, а также от скорости устранения обнаруженных ранее уязвимостей.
Да и про общий ландшафт киберугроз и скорость появления и эксплуатации новых уязвимостей забывать не стоит. Раньше с момента публикации до эксплуатации проходило 1,5 – 2 года, а сегодня – уже может несколько часов. А новые уязвимости появляются вообще со скоростью света. Например, по данным vulners.com, за последний месяц было обнаружено 350 эксплойтов. Из них 11 получили оценку выше 7 по CVSS.
Кстати, в качестве источников информации о новых ИБ-угрозах опрошенные чаще всего используют новостные порталы, специализированные ресурсы, профессиональные блоги и сообщества в соцсетях, а также бесплатные бюллетени от вендоров.
А как именно сканируют? 41% респондентов проводят сканирование автоматически по расписанию, а 39% – что делают это силами только одного ИБ-специалиста. Можно представить, какой объем технических данных сваливается на этого бедолагу и сколько времени ему нужно, чтобы их обработать. А если при этом есть и другие задачи?
Но вопрос не только в закрытии уязвимостей. VM – это еще и про инвентаризацию, без которой пышным цветом расцветают shadow IT.
Патч-менеджмент в разгар атаки
Половина опрошенных отмечает, что в период массовых атак-пандемий решение об установке патчей принимается на уровне ИТ-администраторов, так как ситуация «прозрачна для всех». Экстренный патч-менеджмент чаще всего находится в ведении ИТ-администраторов в крупных компаниях. А в организациях среднего размера (от 250 до 5 тыс. человек) подобные решения чаще всего принимает ИТ-руководитель, но при этом сотрудники ИБ-службы должны аргументировать ему эту потребность. Первых лиц компании и бизнес-подразделения к принятию решения о необходимости установки патчей в период эпидемий привлекают только в крупных (более 5 тыс. человек) и мелких (менее 250 человек) организациях. В то же время есть организации, где ИТ-службы никак не реагируют на запрос об установке патчей – таких 12% среди всех опрошенных.
Получается, что проблема патч-менеджмента связана с несогласованностью в действиях между ИБ-службами и ИТ-администраторами. В итоге процесс затягивается из-за дополнительных согласований.
А как же пентест?
VM все бреши в инфраструктуре, конечно, не закроешь. Чуть больше трети компаний уверены, что для поиска уязвимостей необходимо проводить еще и пентесты. Правда, почти столько же респондентов считают, что сканера для этих целей вполне достаточно.
Мы же уверены, что две эти процедуры не исключают, а дополняют друг друга.
Сканирование уязвимостей – это автоматизированный процесс поиска технических неисправностей и ошибок (из базы CVE), плюс инвентаризация активов. Пентест же выявляет не только технические, но и логические уязвимости, показывая, как выглядит инфраструктура для злоумышленника, где и как он может проникнуть в критичные системы или во внутреннюю сеть. Кроме этого, такая наглядность помогает ИБ-специалистам продемонстрировать потребность в регулярном сканировании и обосновать необходимость установки патчей.
Заключение
Итак, большая часть организаций старается управлять уязвимостями в своих инфраструктурах. Однако многие делают это нерегулярно (60% респондентов проводят сканирование всей инфраструктуры раз в квартал или реже). Ресурсов на это тоже выделяется недостаточно: почти в трети компаний сканированием занимается один ИБ-специалист.
Акцент при поиске уязвимостей большинство организаций делает на локальной сети, а веб-приложения и изолированный сегмент остаются вне фокуса их внимания.
По поводу пентеста мнения разделились: 38% считают, что он должен дополнять VM, однако столько же уверены, что тестирование на проникновение – это лишнее.
Остается актуальной проблема установки патчей. Есть организации, где ИТ-службы никак не реагируют на подобные запросы – таких оказалось 12% среди всех опрошенных. Зато больше половины респондентов отмечают, что решение об установке патчей принимается на уровне ИТ-администраторов, так как ситуация «прозрачна для всех».
А как вы считаете, помогает ли сканирование держать ИБ-оборону?
