Каждый месяц Национальный институт стандартов и технологий (NIST) добавляет более 2,000 новых уязвимостей в систему безопасности. Национальная база данных уязвимостей. Команде безопасности не нужно отслеживать все эти уязвимости, но им нужен способ выявления и устранения тех из них, которые представляют потенциальную угрозу для их систем. Вот что управление уязвимостями жизненный цикл для.

Жизненный цикл управления уязвимостями — это непрерывный процесс обнаружения, определения приоритетов и устранения уязвимостей в ИТ-активах компании.

Типичный раунд жизненного цикла состоит из пяти этапов:

1. Инвентаризация активов и оценка уязвимости. 
2. Приоритизация уязвимостей.
3. Разрешение уязвимости.
4. Проверка и мониторинг.
5. Отчетность и улучшение.

Жизненный цикл управления уязвимостями позволяет организациям улучшить состояние безопасности за счет более стратегического подхода к управлению уязвимостями. Вместо того, чтобы реагировать на новые уязвимости по мере их появления, службы безопасности активно ищут недостатки в своих системах. Организации могут выявлять наиболее важные уязвимости и внедрять средства защиты до того, как злоумышленники нанесут удар.

Почему важен жизненный цикл управления уязвимостями?

Уязвимость — это любое слабое место в системе безопасности в структуре, функции или реализации сети или актива, которое Хакеры могут использовать для нанесения вреда компании. 

Уязвимости могут возникать из-за фундаментальных недостатков в конструкции актива. Так было и с печально известным Уязвимость Log4J, где ошибки кодирования в популярном Java библиотека позволяла хакерам удаленно запускать вредоносных программ на компьютерах жертв. Другие уязвимости вызваны человеческими ошибками, например, неправильно сконфигурированное ведро облачного хранилища, которое выставляет конфиденциальные данные в общедоступный Интернет.

Каждая уязвимость представляет собой риск для организаций. По данным IBM Индекс X-Force Threat Intelligence, эксплуатация уязвимостей является вторым по распространенности кибератаки вектор. X-Force также обнаружил, что количество новых уязвимостей увеличивается с каждым годом: только в 23,964 году было зарегистрировано 2022 XNUMX уязвимости.

Хакеры имеют в своем распоряжении растущий запас уязвимостей. В ответ предприятия сделали управление уязвимостями ключевым компонентом своей управление киберрисками стратегии. Жизненный цикл управления уязвимостями предлагает формальную модель для эффективных программ управления уязвимостями в постоянно меняющемся ландшафте киберугроз. Внедряя жизненный цикл, организации могут увидеть некоторые из следующих преимуществ:

• Упреждающее обнаружение и устранение уязвимостей: Компании часто не знают о своих уязвимостях, пока хакеры не воспользуются ими. Жизненный цикл управления уязвимостями построен на непрерывном мониторинге, поэтому специалисты по безопасности могут обнаруживать уязвимости раньше, чем это сделают злоумышленники.
• Стратегическое распределение ресурсов: Ежегодно обнаруживаются десятки тысяч новых уязвимостей, но лишь немногие имеют отношение к организации. Жизненный цикл управления уязвимостями помогает предприятиям выявлять наиболее критические уязвимости в своих сетях и расставлять приоритеты для устранения самых больших рисков.
• Более последовательный процесс управления уязвимостями: Жизненный цикл управления уязвимостями дает группам безопасности повторяемый процесс, от обнаружения уязвимости до исправления и далее. Более согласованный процесс дает более согласованные результаты и позволяет компаниям автоматизировать ключевые рабочие процессы, такие как инвентаризация активов, оценка уязвимостей и управление патчами.

Этапы жизненного цикла управления уязвимостями

Новые уязвимости могут возникнуть в сети в любое время, поэтому жизненный цикл управления уязвимостями представляет собой непрерывный цикл, а не серию отдельных событий. Каждый раунд жизненного цикла напрямую связан с последующим. Один раунд обычно состоит из следующих этапов: 

Этап 0: Планирование и предварительная работа

Технически планирование и предварительная работа происходят до жизненного цикла управления уязвимостями, отсюда и обозначение «Этап 0». На этом этапе организация уточняет важные детали процесса управления уязвимостями, в том числе следующие:

• Какие заинтересованные стороны будут вовлечены, и роли, которые они будут играть
• Ресурсы, включая людей, инструменты и финансирование, доступные для управления уязвимостями
• Общие рекомендации по расстановке приоритетов и реагированию на уязвимости
• Метрики для измерения успеха программы

Организации не проходят этот этап перед каждым этапом жизненного цикла. Как правило, перед запуском официальной программы управления уязвимостями компания проводит обширный этап планирования и подготовки. Когда программа готова, заинтересованные стороны периодически пересматривают планирование и предварительную работу, чтобы обновить свои общие руководящие принципы и стратегии по мере необходимости. 

Этап 1: Обнаружение активов и оценка уязвимостей

Формальный жизненный цикл управления уязвимостями начинается с инвентаризации активов — каталога всего аппаратного и программного обеспечения в сети организации. Инвентарь включает в себя официально санкционированные приложения и конечные точки, а также любые тень ИТ активы, которые сотрудники используют без разрешения. 

Поскольку новые активы регулярно добавляются в сети компании, перечень активов обновляется перед каждым этапом жизненного цикла. Компании часто используют такие программные инструменты, как управление поверхностью атаки платформы для автоматизации своих инвентаризаций.  

После идентификации активов группа безопасности оценивает их на наличие уязвимостей. Команда может использовать комбинацию инструментов и методов, включая автоматические сканеры уязвимостей, ручные тестирование на проникновение и внешний разведка угроз от сообщества кибербезопасности.

Оценка каждого актива на каждом этапе жизненного цикла была бы обременительной, поэтому группы безопасности обычно работают в пакетном режиме. Каждый этап жизненного цикла фокусируется на определенной группе активов, при этом наиболее важные группы активов сканируются чаще. Некоторые передовые инструменты сканирования уязвимостей постоянно оценивают все сетевые активы в режиме реального времени, что позволяет группе безопасности применять еще более динамичный подход к обнаружению уязвимостей. 

Этап 2: Приоритизация уязвимостей

Группа безопасности расставляет приоритеты по уязвимостям, которые они обнаружили на этапе оценки. Расстановка приоритетов гарантирует, что команда в первую очередь устраняет наиболее важные уязвимости. Этот этап также помогает команде не тратить время и ресурсы на устранение уязвимостей с низким уровнем риска. 

Чтобы приоритизировать уязвимости, команда рассматривает следующие критерии:

• Рейтинги критичности по данным внешней разведки об угрозах: Это может включать список MITRE Распространенные уязвимости и риски (CVE) или Общая система оценки уязвимостей (CVSS).
• Критичность активов: Некритическая уязвимость в критическом активе часто получает более высокий приоритет, чем критическая уязвимость в менее важном активе. 
• Потенциальное воздействие: Команда безопасности взвешивает, что может произойти, если хакеры воспользуются конкретной уязвимостью, включая влияние на бизнес-операции, финансовые потери и любую возможность судебного иска.
• Вероятность эксплуатации: Команда безопасности уделяет больше внимания уязвимостям с известными эксплойтами, которые хакеры активно используют в дикой природе.
• Ложные срабатывания: Команда безопасности проверяет, что уязвимости действительно существуют, прежде чем выделять для них какие-либо ресурсы. 

Этап 3. Устранение уязвимости

Группа безопасности работает со списком приоритетных уязвимостей, от наиболее критичных до наименее критичных. У организаций есть три варианта устранения уязвимостей:

1. Исправление: Полное устранение уязвимости, чтобы ее больше нельзя было использовать, например, путем исправления ошибки операционной системы, исправления неправильной конфигурации или удаления уязвимого ресурса из сети. Исправление не всегда возможно. Для некоторых уязвимостей полные исправления недоступны на момент их обнаружения (например, уязвимости нулевого дня). Для других уязвимостей исправление было бы слишком ресурсоемким.  
2. Смягчение: Усложнение использования уязвимости или уменьшение воздействия эксплуатации без полного устранения уязвимости. Например, добавление более строгих мер аутентификации и авторизации в веб-приложение затруднит взлом учетных записей хакерами. Крафт планы реагирования на инциденты ибо выявленные уязвимости могут смягчить удар кибератак. Группы безопасности обычно выбирают смягчение последствий, когда исправление невозможно или слишком дорого. 
3. Принятие: Некоторые уязвимости настолько малоэффективны или вряд ли будут использованы, что их исправление будет экономически невыгодным. В этих случаях организация может решить принять уязвимость. 

Этап 4: Проверка и мониторинг

Чтобы убедиться, что усилия по смягчению последствий и исправлению сработали должным образом, команда безопасности повторно сканирует и повторно тестирует активы, над которыми они только что работали. Эти аудиты преследуют две основные цели: определить, успешно ли группа безопасности устранила все известные уязвимости, и убедиться, что меры по устранению и исправлению не привели к появлению новых проблем.

В рамках этого этапа переоценки группа безопасности также осуществляет более широкий мониторинг сети. Команда ищет любые новые уязвимости с момента последнего сканирования, старые средства защиты, которые устарели, или другие изменения, которые могут потребовать действий. Все эти выводы помогают информировать о следующем этапе жизненного цикла.

Этап 5: Отчетность и улучшение

Группа безопасности документирует активность самого последнего этапа жизненного цикла, включая обнаруженные уязвимости, предпринятые шаги по устранению и результаты. Эти отчеты передаются соответствующим заинтересованным сторонам, включая руководителей, владельцев активов, отделы соответствия и другие. 

Группа безопасности также размышляет о том, как прошел последний этап жизненного цикла. Команда может рассматривать ключевые показатели, такие как среднее время обнаружения (MTTD), среднее время реагирования (MTTR), общее количество критических уязвимостей и частота повторения уязвимостей. Отслеживая эти показатели с течением времени, группа безопасности может установить базовый уровень производительности программы управления уязвимостями и выявить возможности для улучшения программы с течением времени. Уроки, извлеченные из одного этапа жизненного цикла, могут сделать следующий этап более эффективным.

Ознакомьтесь с решениями для управления уязвимостями

Управление уязвимостями — сложная задача. Даже при формальном жизненном цикле группы безопасности могут чувствовать, что они ищут иголки в стоге сена, пытаясь отследить уязвимости в огромных корпоративных сетях. 

IBM X-Force® Red может помочь упростить этот процесс. Команда X-Force® Red предлагает комплексные службы управления уязвимостями, работа с организациями для выявления критически важных активов, обнаружения уязвимостей с высоким риском, полного устранения слабых мест и применения эффективных контрмер.

Узнайте больше об услугах управления уязвимостями IBM X-Force® Red

IBM Security® QRadar® Suite может дополнительно поддержать группы безопасности с ограниченными ресурсами с помощью модернизированного решения для обнаружения угроз и реагирования на них. QRadar Suite объединяет безопасность конечных точек, управление журналами, продукты SIEM и SOAR в рамках общего пользовательского интерфейса, а также автоматизацию предприятия и искусственный интеллект, помогающие аналитикам безопасности повысить производительность и эффективнее работать с разными технологиями.

Ознакомьтесь с пакетом IBM Security QRadar Suite