Организация процесса управления уязвимостями

Команда Infosecurity оказывает экспертные услуги по проектированию, внедрению, автоматизации и сопровождению процесса управления уязвимостями.

Мы помогаем Компаниям построить процесс управления уязвимостями с гарантией повторяемости и предсказуемого результата, а также берем на аутсорсинг отдельные этапы или весь процесс.
Более 700 проектов
реализовано
Более 250 инженеров
в команде
Более 15 лет
на рынке ИБ
В условиях постоянных киберугроз реактивная защита — это риск, который бизнес не может себе позволить.
Управление уязвимостями (Vulnerability Management) переводит кибербезопасность вашей компании в проактивный режим, создавая непрерывный цикл обнаружения и приоритизации рисков. Нейтрализуйте критические уязвимости раньше, чем ими воспользуются злоумышленники, и сохраняйте полный контроль над вашим периметром без ущерба для бизнес-процессов.

Почему одного сканера недостаточно

Сканер показывает исключительно результаты сканирования ИТ-инфраструктуры, но сам по себе не решает вопросы управления и контроля жизненного цикла уязвимостей. Внедрение инструмента без выстроенного процесса неизбежно приводит к типовым проблемам:
  • Растущий бэклог
    ИБ-служба генерирует многостраничные отчеты, в потоке которых теряются действительно опасные технические уязвимости. Из-за отсутствия SLA и понимания доступных ресурсов ИТ-департамента задачи копятся вместо того, чтобы закрываться.
  • ИТ-департамент не понимает, что делать
    ИБ-департамента генерирует многостраничные отчеты без предварительной обработки и направляет их напрямую в ИТ. В результате ИТ-департамент получает несколько сотен тысяч строк, где непонятно что делать, администраторам приходится вручную разбирать каждую уязвимость. При затратах всего 3 минуты на одну запись обработка такого объема требует более 15 000 человеко-часов.
  • CVSS без учета контекста
    Базовая оценка по шкале CVSS не учитывает критичность конкретного актива, его сетевую доступность и архитектуру корпоративной сети.
  • Замкнутый круг
    Если вендор не выпустил обновление (или ПО снято с поддержки), сканер будет циклично подсвечивать уязвимость, не предлагая путей снижения риска.
Процесс управление уязвимостями "под" ключ решает эти проблемы, выстраивая непрерывный цикл работы

Реактивный подход против Риск-ориентированного

Этапы процесса VM
Реактивный подход
Риск-ориентированный подход
Выявление уязвимостей (частота сканирования)
Нерегулярное
При изменении нормативной базы
Регулярное
(Ежемесячно)
Оценка и приоритизация уязвимостей
Опирается в лучшем случае исключительно на метрику CVSS
Многофакторная оценка применимости
Учитывается значимость актива, требования бизнеса, уязвимости, наличие публичных эксплойтов, KEV, EPSS

Устранение
Требование немедленного обновления всех уязвимых систем
Согласованный регламент
Устранение уязвимостей в минимальные сроки, с учетом SLA и доступных ресурсов ответственной за процесс команды
Контроль устранения
Чаще всего – отсутствует
Контрольные отчеты о сканировании и связанные задачи в HelpDesk
Обработка уязвимостей при невозможности установки патча
Риск принимается или игнорируется.
Сканер продолжает фиксировать проблему
Компенсирующие меры
Подбираются архитектурные и сетевые меры, которые позволяют снизить риск

Переходите от реактивного подхода к риск-ориентированному управлению уязвимостями уже сейчас

Проектируем VM-процесс с учётом вашей инфраструктуры, значимости активов и ресурсов команды.
Получить консультацию Обсудить внедрение VM-процесса

Методология работы: от диагностики до автоматизации

Этап 1. Анализ и оценка

  • Анализ текущего состояния

    Изучение существующего подхода к управлению уязвимостями: используемых источников данных, порядка обработки результатов, действующих ролей, уровня формализации, связей со смежными процессами и текущих ограничений.
  • Оценка зрелости процесса

    Определение сильных и слабых сторон, основных разрывов, точек потери управляемости и приоритетных направлений развития.

Результаты:

  • установлено окружение и специфика инфраструктуры;
  • определен уровень зрелости VM-процесса;
  • сформированы требования к VM-процессу.

Этап 2. Проектирование и внедрение процесса

  • Разработка целевой модели процесса

    Формирование логики процесса управления уязвимостями с учетом структуры компании, значимости активов, требований бизнеса и регуляторной среды.
  • Формализация ролей, правил и артефактов

    Определение зон ответственности, SLA, порядка приоритизации, обработки исключений, взаимодействия ответственных подразделений и владельцев активов, а также состава необходимых регламентирующих документов.
  • Запуск процесса и сопровождение первой итерации

    Перевод целевой модели в рабочий формат: запуск процесса, сопровождение первых циклов, корректировка спорных сценариев, поддержка участников и фиксация необходимых изменений.
  • Контроль и корректировка

    Проверка того, насколько процесс реально работает, где возникают задержки или разрывы, как исполняются SLA и что нужно скорректировать.

Результаты:

  • сформированы и распределены роли и ответственности;
  • определены критерии приоритезации и группировки уязвимостей;
  • определены метрики и критерии эффективности процесса;
  • процесс формализован во внутреннем нормативном документе.

Этап 3. Сопровождение

  • Автоматизация процесса

    Перенос ручных операций, проектирование автоматизации ключевых сценариев и интеграция с ключевыми системами.
  • План дальнейшего развития

    Формирование рекомендаций по масштабированию процесса, повышению его зрелости, развитию метрик и следующим шагам автоматизации.

Результаты:

  • совместное проведение первой итерации VM-процесса;
  • корректировка ВНД (при необходимости).

Этап 4. Сопровождение —VMaaS (Vulnerability Management as a Service)

Если у вашей команды не хватает ресурсов, мы забираем на себя регулярную аналитику выявленных уязвимостей, анализ применимости, верификацию ложных срабатываний и подготовку задач на устранение для ответственных подразделений.

Инвентаризация

ручная, данные предоставляются Заказчиком

Аналитика

  • периодический мониторинг сводок
  • анализ трендовых уязвимостей

Экспертиза

рекомендации по обновлению до актуальной версии (вплоть до конкретной версии пакета)

Приоритезация

  • на основании ранее определенных критериев процесса
  • группировка уязвимостей на родительскую и дочернюю (опционально)

Управление мероприятиями

  • план мероприятий по обработке с учетом приоритета/критичности уязвимости
  • проекты заявок на устранение (опционально)

Работа с исключениями

конкретные контрмеры определяются Заказчиком

Консультации

15 часов в месяц

Дополнения

  • ежемесячная отчетность
  • MSSP Сканер (опционально)

Подход к работам

Глубина аналитики, степень автоматизации и вовлечение ваших ИТ-специалистов напрямую зависят от текущего уровня зрелости инфраструктуры и выбранного пакета услуг. При этом наш подход гибко адаптируется под специфику и бизнес-процессы вашей организации.
Независимо от выбранного формата взаимодействия, следующие этапы являются обязательными для выстраивания системного процесса:
  • Регламент и первичный анализ

    Утверждение регламента взаимодействия, определение зон ответственности и сбор первичной информации о текущем подходе к управлению уязвимостями (анализ используемых сканеров, источников данных и текущих ограничений);
  • Логика процесса управления уязвимостями

    Формирование логики процесса управления уязвимостями строго в контексте архитектуры вашей корпоративной сети, значимости активов и требований регуляторов;
  • Правила приоритизации и SLA

    Определение правил приоритизации уязвимостей, порядка обработки исключений и SLA для взаимодействия ответственных подразделений;
  • Внедрение спроектированной модели

    Перевод спроектированной модели в рабочий формат.

Дополнительные этапы

В зависимости от ваших потребностей и ИТ-ландшафта, в проект могут быть включены следующие расширенные этапы
  • Автоматизация и интеграция процесса

    Проектирование автоматизации ключевых сценариев и бесшовная интеграция процесса со смежными системами (CMDB, Service Desk, SGRC) для контроля статусов и снижения доли ручного труда;
  • Компенсирующие меры при отсутствии патчей

    В случаях, когда выпуск или установка патча от вендора невозможны, мы подбираем и помогаем безопасно внедрить компенсирующие меры, снижающие риск эксплуатации до приемлемого уровня.

Почему нам можно доверять

  • Мультивендорная экспертиза
    250 + сертифицированных инженеров в команде
  • Более 210 кейсов по комплаенсу
    В ритейле, промышленности, финансах, телекоме, ИТ-компаниях и не только
    Наши специалисты имеют международные сертификаты: CISA, CRISC, CISSP, CISM, ISO 27001 Lead Auditor, ISO 27001 Lead Implementer, ISO 22301 Lead Auditor, ISO 27001, 20000, 22301 Tutor
  • Пентестеры Infosecurity входят в топ-10 России
    Наши специалисты имею ключевые сертификаты: TCM Security Practical Ethical Hackin, TCM Security Practical Web Application Security & Testing, TSARKA – Web Application Penetration Testing, OSCP, HWSP, eWPTXv2, eWPTv1, OSCP, OSCP+, OSWP, eMAPT, eCCPTv2, eCPTX_v2, CAP, API Academy, CRTP, CRTO, eCPTX, KLCP, OSWE, OSWA, CWEE
  • Повысили осведомленность более 20 000 человек
    Команда Awareness Infosecurity состоит из инженеров, аналитиков, консультантов, методистов, разработчиков, дизайнеров и пентестеров, которые работают над созданием уникальных материалов
  • Более 500 брендов под нашей защитой
    В ритейле, финансах, телекоме, строительстве, промышленности, и не только
Бесплатная консультация

У Вас остались вопросы?

Оставьте заявку и мы свяжемся с вами в ближайшее время.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.

Новости и события

    FAQ