Всё об управлении уязвимостями в 2025: Vulnerability Management

Программные — это ошибки или недочёты в коде ПО. Например, переполнение буфера и SQL-инъекции позволяют хакерам получить доступ к данным, вводя вредоносные команды.

Сетевые — это недостатки в защите сети. Например, слабая защита Wi-Fi делает сеть уязвимой для взлома, а предсказуемые TCP-последовательности — для перехвата данных.

Конфигурационные — это ошибки в настройках систем. Например, благодаря открытым интерфейсам, доступным через интернет, злоумышленники могут получить доступ к системе. А ошибки в правах доступа позволяют атакующим захватить контроль над критичными данными.

Аппаратные — это слабые места оборудования. Например, уязвимости под названиями Meltdown и Spectre позволяют взломщикам читать данные из памяти устройств: смартфонов, компьютеров, серверов.

Уязвимости в процессах или политике безопасности — это недоработки в правилах, процедурах, обучении сотрудников. Например, если сотрудники используют простые пароли или не делают резервное копирование, хакерам легче взломать систему, чтобы украсть или безвозвратно стереть данные.

Кто и как находит уязвимости

Их находят эксперты по кибербезопасности — ИБ-компании, производители ПО или независимые специалисты. Они вручную анализируют исходный код, тестируют системы на проникновение, мониторят подозрительную активность. В дополнение к ручным способам исследователи используют специализированные инструменты, такие как сканеры. А ещё некоторые проблемы случайно обнаруживают пользователи и сообщают об этом производителям.

После того как исследователи узнали об уязвимости, они её документируют:

• описывают её характеристики;
• предполагают, какими способами её смогут использовать хакеры;
• оценивают возможные последствия.

Затем эксперты проводят оценку критичности найденной проблемы, определяя, насколько серьёзно она угрожает безопасности системы, программы или устройства.

Некоторые уязвимости получают названия, как Meltdown или Spectre, о которых мы уже упоминали. Но большинству из них эксперты просто дают уникальные идентификаторы, а после заносят в специализированные базы. Одна из самых известных баз — National Vulnerability Database или сокращённо NVD. Она использует систему идентификации Common Vulnerabilities and Exposures или сокращённо CVE.

В России есть собственная база, адаптированная к отечественным стандартам, — Банк данных угроз безопасности информации или сокращённо БДУ ФСТЭК. Для описания проблем российского оборудования или программного обеспечения БДУ применяет собственные идентификаторы, а для описания слабых мест зарубежного оборудования или ПО — идентификаторы CVE.

Трендовые уязвимости 2025 года

Не все уязвимости становятся объектом атак, но те, которые хакеры активно используют многократно, называют трендовыми. Мы собрали список трендовых уязвимостей из базы NVD. Все они касаются ПО и оборудования, которое использовали госкомпании или корпорации.

Windows. Уязвимости CVE-2024-38014 и CVE-2024-38217 позволяют злоумышленникам локально повысить привилегии до уровня SYSTEM, обойдя защиту Mark of the Web. Это даёт им возможность маскировать вредоносные файлы под безопасные.

Veeam Backup & Replication. Уязвимость CVE-2024-40711 даёт атакующим возможность удалённо выполнять код без аутентификации. Это ставит под угрозу сервер, что может привести к полной компрометации инфраструктуры.

VMware vCenter. Уязвимость CVE-2024-38812 также даёт несанкционированным пользователям возможность удалённого выполнения кода. Благодаря этому они могут получить контроль над сервером.

Веб-приложения. Идентификаторы CVE-2024-37383 и CVE-2024-8275 описывают недостатки в Roundcube Webmail и плагине The Events Calendar для WordPress. Эти уязвимости открывают доступ к базе данных, позволяя взломщикам выполнять JavaScript-код, что угрожает безопасности учётных записей пользователей.

Процессоры. Уязвимости GhostRace и RFDS, затрагивающие архитектуры Intel, AMD и ARM, позволяют хакерам извлекать конфиденциальные данные через спекулятивные атаки.

1. Создание базы активов компании

На этом этапе специалисты ИБ создают базу всех активов компании — устройств, приложений, сервисов. Для создания такой базы команда ИБ проводит инвентаризацию активов, классифицирует их по важности, назначает ответственных.

При инвентаризации отдел ИБ собирает в список все ресурсы. Например, список активов компании может быть следующим: страницы в интернете, сетевое оборудование, физические серверы, виртуальные машины, хранилища данных, системы управления, средства резервного копирования, облачные сервисы, мобильные устройства, программное обеспечение.

Классифицируя активы, специалисты определяют, какие из них важнее. Например, серверы с клиентскими данными — это важные активы, за которыми нужно следить чаще, а тестовые серверы менее важны, поэтому их можно контролировать реже.

Назначение ответственных подразумевает закрепление каждого актива за конкретным сотрудником или командой, чтобы быстро реагировать на потенциальные угрозы. Например, если отдел ИБ нашёл проблему на сервере разработки, он уведомляет ответственного сотрудника, который сразу приступает к устранению.

Для удобства данные об активах можно собрать в таблицу:

Средней или крупной компании сложно учитывать активы вручную. Чтобы облегчить эту работу, можно использовать решения для VM со встроенным функционалом учёта активов, например MaxPatrol VM. Такой функционал автоматически отслеживает изменения в инфраструктуре компании, обновляет список активов, поддерживает его актуальность.

2. Выявление слабых мест

На этом этапе специалисты ИБ сканируют всю инфраструктуру, анализируют её, находят потенциальные угрозы.

Сканирование может быть автоматическим или ручным. Автоматические сканеры быстро идентифицируют известные уязвимости из баз данных. А с помощью ручной проверки специалисты ИБ выявляют специфические проблемы в настройках, характерные именно своей компании. Комбинация автоматического сканирования и ручной проверки позволяет обнаружить больше потенциальных рисков безопасности. Кроме того, команда ИБ отслеживает уведомления от поставщиков ПО, чтобы своевременно учитывать новые угрозы.

3. Оценка и приоритизация проблем безопасности

На этом этапе специалисты ИБ решают, какие слабые места нужно устранить немедленного, какие можно устранить позже, а какие можно не устранять — принять риск. Для этого отдел ИБ использует метод CVSS, контекстный анализ, методики ОРКИ и ФСТЭК, а также вырабатывает меры по управлению выявленными рисками.

Метод CVSS подразумевает оценку по шкале от 0 до 10. Оценка отражает степень риска: чем выше балл, тем быстрее нужно устранять проблему.

Контекстный анализ дополняет CVSS, учитывая значимость активов для компании. Так, проблема безопасности с высоким баллом на изолированном сервере имеет меньший приоритет, чем аналогичная проблема на сервере, доступном внешним пользователям.

Методики ОРКИ и требования ФСТЭК должны использовать компании, работающие с критически важной информационной инфраструктурой, сокращённо КИИ. Следуя этим методикам, компании соблюдают нормы регуляторов, избегая штрафов.

Выработка мер управления рисками — это решение, которое принимает отдел безопасности для каждой найденной проблемы: устранить, компенсировать или принять риск.

Если угроза серьёзная, её устраняют сразу. Если быстро решить проблему нельзя, вводят временные меры, например, мониторинг или ограничение доступа. Когда проблема незначительна или устранить её слишком сложно, компания может принять риск, документируя это решение.

Итог этапа оценки и приоритизации может выглядеть так:

4. Устранение проблем безопасности

На этом этапе команда ИБ передаёт команде ИТ приоритизированный список с рекомендациями: какие риски нужно устранить немедленно, какие из них можно принять, а где нужны временные меры.

ИТ-специалисты устраняют слабые места, поэтапно внедряя патчи и усиливая безопасность. Чтобы минимизировать возможные сбои в работе, сначала они тестируют патчи на менее критичных системах, а затем внедряют на основных. Усиление безопасности включает ограничение прав доступа, отключение неиспользуемых портов, включение двухфакторной аутентификации.

Предположим, специалисты ИБ обнаружили уязвимость Log4j на веб-сервере. Они передают команде ИТ уведомление, что эта проблема критическая. Это значит, что её нужно устранить как можно быстрее. Команда ИТ тестирует патч в безопасной среде, чтобы избежать сбоев при внедрении. После тестирования они внедряют патч на боевом сервере ночью, а потом проверяют работоспособность сервера. Для дополнительной защиты они временно включают усиленный мониторинг, а доступ для внешних IP — ограничивают.

Бывают случаи, когда установка патча невозможна, потому что это может нарушить работу критичных сервисов или производитель ещё не успел выпустить обновление. В этом случае можно временно ограничить доступ, усилить мониторинг, а также изолировать уязвимые серверы до возможности патчирования.

5. Оценка и отчётность

На финальном этапе команда ИБ оценивает работу ИТ-специалистов, анализирует их технические отчёты, мониторит остаточные риски, составляет рекомендации по усилению безопасности.

Оценка работы с помощью повторного сканирования позволяет ИБ-специалистам проверить, устранены ли риски после обновлений. Например, сканирование сервера показывает, что уязвимость для несанкционированного доступа больше не обнаруживается, а значит, угроза устранена. Также на этом этапе отдел ИБ анализирует KPI, такие как время устранения угроз.

Анализ технических отчётов, которые составляет отдел ИТ, нужен для того, чтобы команда ИБ могла отследить успехи в защите, а также проанализировать оставшиеся слабые места. В своих отчётах ИТ-специалисты фиксируют, какие патчи или обновления внедрены, какие системы изменены, какие проблемы возникли при внедрении.

Мониторинг остаточных рисков помогает ИБ-специалистам отслеживать нестандартное поведение ресурсов после изменений. Это важно, так как обновления могут влиять на работу других частей системы. Также мониторинг остаточных рисков помогает предотвратить появление новых точек для атак и оценить процент ложных срабатываний системы безопасности.

Рекомендации по улучшению формирует отдел ИБ. Для этого он составляет для руководства компании итоговый отчёт по устранённым и остаточным рискам. Также специалисты ИБ предлагают руководству конкретные меры: обновление устаревшего ПО, настройку политик доступа или обучение сотрудников. Руководство компании анализирует отчёты и рекомендации команды ИБ, чтобы принять стратегические решения, например, выделить дополнительный бюджет на усиление информационной безопасности.

Вот как может выглядеть итоговый отчёт на этом этапе:

Как управление уязвимостями помогает ИТ и ИБ работать вместе

Когда VM не настроено, отдел ИБ находит тысячу потенциальных угроз, а потом передаёт их отделу ИТ без приоритизации. Специалисты из отдела ИТ берутся за задачи по очереди, не зная, какие угрозы важнее. В итоге они упускают опасные уязвимости, оставляя систему под угрозой.

VM помогает ИТ и ИБ лучше понимать друг друга и действовать сообща. Благодаря системе VM, ИТ-специалисты знают, какие угрозы критичные, и фокусируются на них, не распыляясь на менее значимые угрозы.

В итоге отделы не просто передают друг другу задачи, а работают над одной целью — защитой компании, но каждый из них выполняет свою роль. Кроме этого, у команд появляются чёткие правила, зоны ответственности, а также KPI для оценки результатов и улучшений.

Какие KPI использует отдел ИБ, чтобы оценить эффективность VM

Специалисты по информационной безопасности используют для оценки VM следующие KPI:

Оценивая эти показатели, отдел информационной безопасности видит, как ИТ-специалисты выполняют задачи и как можно улучшить процесс.

Какие нормативные акты и стандарты обязаны выполнять российские компании

Для защиты данных и критической информации российские компании должны следовать ряду нормативов:

ГОСТ Р 56545-2015, ГОСТ Р 56546-2015. Эти стандарты описывают, как классифицировать риски безопасности, оценивать их и устранять.

Приказ ФСТЭК России № 17. Этот приказ требует от компаний, работающих с персональными данными, регулярно проверять защищённость данных и ограничивать доступ к ним.

Федеральный закон № 152-ФЗ «О персональных данных». Этот закон обязывает компании защищать персональные данные от утечек, несанкционированного доступа, кибератак, других угроз.

Как VM помогает выполнять требования закона и взаимодействовать с регуляторами

Компании, работающие с персональными данными, обязаны уведомлять ФСТЭК о выявленных рисках безопасности, а также о том, какие меры они предприняли для их устранения. С помощью системы VM компания соблюдает требования ФСТЭК, ведя точную документацию, упрощая отчётность.

VM помогает специалистам отдела ИТ вовремя устранять риски, предотвращая несанкционированный доступ к данным компании. При этом компания постоянно обновляет списки найденных и устранённых слабых мест, поэтому в любой момент может продемонстрировать проверяющим органам последовательные действия по повышению безопасности своих систем.

Специалисты по информационной безопасности ежедневно работают с множеством потенциальных угроз, требующих приоритизации. Выполнять эти задачи вручную слишком трудно и неэффективно, особенно в средних или крупных компаниях. Чтобы повысить эффективность, специалисты внедряют автоматизацию, используя вендорские решения, сервисы управления уязвимостями или open-source решения.

1. Вендорские решения

Это готовые решения, которые предлагают все необходимые инструменты для VM. Такие продукты включают функции сканирования, анализа, расставления приоритетов, устранения угроз. Обычно они легко интегрируются в инфраструктуру компании и готовы к использованию с минимальными настройками.

На рынке уже есть отечественные решения, которые адаптированы для комплексной защиты, например, MaxPatrol VM или R-Vision VM.

MaxPatrol VM от компании Positive Technologies — это платформа для анализа инфраструктуры компании и управления уязвимостями. Она легко настраивается, автоматизирует процессы, подходит для разных типов организаций. MaxPatrol VM поддерживает активное и пассивное сканирование, включая TCP/UDP. Платформа использует протоколы SNMP, SSH, WMI для доступа к сетям и серверным системам.

При работе с рисками MaxPatrol VM применяет CVSS, а также собственные алгоритмы оценки. При этом в приоритете те угрозы, которые могут напрямую повлиять на бизнес.

MaxPatrol VM интегрируется с PT SIEM, расширяя возможности платформы. В экосистеме Positive Technologies это позволяет централизованно управлять инцидентами и учитывать контекст, чтобы обнаруживать угрозы более точно.

R-Vision VM от компании R-Vision — это платформа для автоматизации VM. Особенность платформы — гибкие настройки сканирования, которые можно адаптировать под нужды конкретной компании. Платформа использует протоколы TCP/UDP для проверки доступности сервисов, что упрощает работу с большими инфраструктурами.

При работе с рисками R-Vision VM оценивает их на основе CVSS и собственного контекстного анализа, учитывая специфику активов и правильно расставляя приоритеты угроз.

При интеграции платформа передаёт данные в SIEM и EDR. Также она совместима с системами управления конфигурациями, что позволяет построить целостную защиту.

2. Сервисы управления уязвимостями

Это аутсорсинговые услуги, которые предоставляют внешние провайдеры. Эти решения включают полный цикл VM — от поиска слабых мест до их устранения. Такой подход позволяет компаниям передать часть задач сторонним организациям, у которых есть ресурсы и эксперты.

Примеры отечественных сервисов, подходящих для импортозамещения, — Solar CPT и BI.ZONE.

Solar CPT от ГК Солар — это централизованный сервис для VM и работы с конфигурациями. Он ориентирован на сети компаний и госорганизаций. Solar CPT выполняет постоянное тестирование на проникновение, поддерживает активный и пассивный мониторинг, проверяет протоколы FTP и SMB, оценивает уязвимости устройств и серверов.

При работе с рисками он применяет многоуровневую оценку угроз, учитывая, насколько важен для компании каждый из активов. Такой подход позволяет устранять критические риски в первую очередь.

BI.ZONE от компании Continuous Penetration Testing (CPT) — это сервис для непрерывного тестирования безопасности в режиме реального времени, с фокусом на уязвимости в IT-системах. Он обеспечивает активное и пассивное сканирование, анализируя популярные протоколы, такие как FTP и HTTP.

3. Open-source решения

Это бесплатные решения с открытым исходным кодом, которые компании могут скачать на специализированных платформах, чтобы потом адаптировать под свои задачи. Но нужно учитывать, что внедрение таких решений требует вложений: от настройки и доработки до найма специалистов для поддержки системы.

Примеры open-source решений — сканеры Nmap и Nikto.

Nmap — это инструмент для сканирования сети, который помогает в поиске рисков безопасности, а также оценивает доступность сервисов и наличие открытых портов. Nmap поддерживает несколько режимов сканирования, таких как SYN scan и OS detection. Движок NSE (Nmap Scripting Engine) позволяет создавать сценарии для проверки уязвимостей.

Nmap не предоставляет прямую оценку рисков, но его сценарии помогают выделить уязвимые компоненты. Полученные результаты можно передавать в другие инструменты для глубокой оценки.

Nikto — это веб-сканер с открытым исходным кодом, который помогает находить слабые места в веб-приложениях и серверной инфраструктуре. Он сканирует веб-серверы по протоколам HTTP и HTTPS, выявляя слабые места и устаревшие модули. Сканер может работать в пассивном режиме, не нагружая сервер.

При работе с рисками Nikto проводит их базовую оценку, определяя критичные конфигурации. Результаты можно дополнительно проанализировать в других системах.

В реальности open-source решения редко достигают уровня функциональности вендорских продуктов, таких как MaxPatrol VM. Поэтому использовать open-source имеет смысл только тем компаниям, которые хорошо понимают собственные задачи, а также готовы инвестировать в доработку и поддержку таких решений.

Какие ресурсы использовать, чтобы обучить сотрудников управлению уязвимостями

По теме VM не так много материалов на русском языке. Чтобы вы смогли обучить сотрудников, мы собрали в этом разделе официальные руководства, обучающие курсы, полезные ресурсы, а для более глубокого погружения добавили книги на английском.

Руководство ФСТЭК России по управлению уязвимостями. Руководство содержит методические рекомендации, которые описывают, как организовать работы по поиску и устранению уязвимостей в информационных системах. Документ ориентирован на государственные структуры, а также критическую инфраструктуру.

Рекомендации НКЦКИ. Эти методички помогают организациям разработать систему управления рисками, включая алгоритмы обновлений и временные меры для защиты ключевых систем.

Практический курс по управлению уязвимостями от INSECA. Обучение длится пять недель, позволяя освоить базовые навыки по VM.

Курс «Анализ защищённости сетей» от Учебного центра «Информзащита». Курс сделан в виде трёхдневного интенсива с практикой по работе с уязвимостями.

Курс «Управление уязвимостями» от Positive Technologies. Обучение включает практику с MaxPatrol VM, а также охватывает полный цикл VM.

Telegram-канал Александра Леонова. На канале Александр рассказывает о практике VM и актуальных угрозах.

Книга Джона Эриксона «Hacking: The Art of Exploitation». В этом издании описаны методы эксплуатации уязвимостей, поэтому оно полезно для специалистов из сферы кибербезопасности.

Книга Андре Магнуссона «Practical Vulnerability Management: A Strategic Approach to Managing Cyber Risk». В этой книге есть руководство по системному подходу к VM: от планирования до устранения.

Обучение сотрудников методике VM — это не разовая задача, а непрерывный процесс, требующий актуальных знаний и практических навыков. Используя перечисленные ресурсы, ваша компания сможет подготовить специалистов, способных своевременно обнаруживать и устранять угрозы.

Главное о VM

Уязвимости — это слабые места в инфраструктуре компании. Через них злоумышленники получают доступ к данным компании. Уязвимости бывают программными, аппаратными, сетевыми, конфигурационными, а также связанными с политикой безопасности предприятия.

Уязвимости находят эксперты по кибербезопасности. Далее исследователи их описывают, присваивают идентификаторы, вносят в специальные базы.

Злоумышленники используют не все занесённые в базы уязвимости. Среди них есть трендовые — те, через которые хакеры на практике проникают в системы компаний.

Управление уязвимостями или VM — это непрерывный циклический процесс. Он делится на этапы: создание базы активов, идентификация слабых мест, оценка и приоритизация, устранение, мониторинг и анализ.

VM помогает командам ИТ и ИБ работать вместе, защищая инфраструктуру предприятия. Вместо того чтобы давать отделу ИТ списки с тысячей потенциальных рисков, отдел ИБ приоритизирует риски, выбирая первоочередные.

Для оценки VM используют KPI. Основные показатели — время устранения, количество инцидентов, доля устранённых критических проблем, среднее время до их обнаружения (MTTD), среднее время до реагирования (MTTR), количество открытых уязвимостей.

Российские компании обязаны выполнять нормативные акты и стандарты. VM помогает бизнесу взаимодействовать с регуляторами, избегая штрафов.

В крупных или средних компаниях VM нужно автоматизировать. Для автоматизации подходят продукты «из коробки», сервисы управления уязвимостями или open-source решения.

Компания может обучать собственных сотрудников процессу VM. Для этого можно использовать руководства и методические рекомендации регуляторов, а также курсы, книги, информацию из тематических каналов или форумов.