Дисциплины в банках больше. Управление уязвимостями в кредитно-финансовых организациях

BIS Journal №4(47)2022

24 ноября, 2022

Дисциплины в банках больше. Управление уязвимостями в кредитно-финансовых организациях

Недавно мы провели опрос специалистов по кибербезопасности, чтобы выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских компаниях. Специально для читателей BIS Journal рассмотрим результаты опроса представителей ИБ в привязке к кредитно-финансовой отрасли.

В исследовании приняли участие эксперты из 42 компаний банковского сектора, из них 50% относятся к средним по размеру организациям (от 250 до 3000 сотрудников), 31% — к крупным (более 3000 сотрудников), 19% — к небольшим (до 250 сотрудников).

 

ИНСТРУМЕНТЫ VM В БАНКАХ

Для работы с уязвимостями специалисты по ИБ банковской отрасли используют в основном российские коммерческие VM-решения (50%) (рис. 1).

Рисунок 1. Какие продукты для управления уязвимостями используют в кредитно-финансовой отрасли

 

По сравнению с общей тенденцией по рынку, в банковской сфере выше доля тех, кто собирается перейти на российские решения (31% против 18%). Такой тренд можно объяснить тем, что к субъектам критической информационной инфраструктуры, к которым в большинстве своём относятся и финансовые организации, применимо требование о переходе со средств защиты информации из недружественных государств, согласно Указу Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Несмотря на это, доля тех компаний, которые готовы продолжать использование иностранных решений в кредитно-финансовой сфере, выше, чем по всему рынку (21% против 8%). При этом больше половины опрошенных используют иностранное решение вместе с open-source-сканерами (56%), а треть — вместе с российским VM-решением (33%). Оставаться на иностранных решениях всё сложнее для российских пользователей. Во-первых, они перестают получать официальные обновления, то есть информацию о новых уязвимостях. Во-вторых, российские компании сейчас переходят на отечественное ПО, и нужно решать, как анализировать его защищённость, — и тут иностранные VM-решения не помогут с поддержкой сканирования отечественного ПО.

Треть специалистов отметили, что прибегают к решениям open source для выявления уязвимостей (31%). Однако рост интереса к open-source-решениям имеет нюансы. Во-первых, применение opensourceвызовет необходимость в высококвалифицированных специалистах — тех, кто знает, как самостоятельно поддерживать и развивать данное ПО в соответствии с запросами компании. Либо таких специалистов будут нанимать в штат, либо компании будут использовать сервисную модель, то есть платить сторонним организациям, которые будут дорабатывать и обслуживать исходно бесплатное ПО. Во-вторых, сейчас меняется подход к обеспечению безопасности. В банковской отрасли цена ошибки слишком высока: организация напрямую оперирует большими денежными потоками. Остро встанет вопрос надёжности и безопасности кода программы. Если раньше пользователи полагались только на вендора и аттестацию, сертификацию регуляторов, то теперь необходимо будет самостоятельно контролировать надёжность и безопасность решений: создавать карантин для обновлений и тестировать обновления на наличие скрытых функций. Главное, ни в коем случае не обновлять напрямую ПО из интернета без проверки.

 

ОЖИДАНИЯ ОТ VM-РЕШЕНИЙ

Мы спросили участников опроса, какими возможностями должна обладать VM-система для решения задач компании. 71% респондентов из финансового сектора отметили, что нуждаются в интеграции VM-продукта с другими решениями для ИБ. 62% участников опроса отметили, что хотят получать уведомления о новых уязвимостях от вендора.

64% специалистов отметили учёт значимости активов сети. Это позволяет упорядочить работу, вовремя обращать внимание на активы, эксплуатация уязвимостей на которых может нанести больше всего вреда организации. В новой версии системы управления уязвимостями MaxPatrol VM можно автоматизировать присвоение значимости IT-активам. Например, задать высокий уровень значимости всем контроллерам домена. Также продукт информирует пользователя о новых, ещё не оценённых активах. Это позволит специалистам по ИБ тратить меньше времени на ручную обработку результатов сканирования (рис. 2).

Рисунок 2. Какими возможностями должно обладать VM-решение, по мнению представителей финансовых компаний

 

ИЗМЕНЕНИЯ В ПАТЧ-МЕНЕДЖМЕНТЕ

За последние несколько месяцев изменения произошли и в подходах компаний к патч-менеджменту иностранного ПО и open-source-решений (рис. 3).

Рисунок 3. Как в 2022 году компании финансового сектора изменили процесс патч-менеджмента

 

74% специалистов из банковской отрасли внесли изменения в патч-менеджмент после февраля 2022 года. На решение повлиял возросший риск получить недекларированные возможности в новых обновлениях от иностранных вендоров. Специалистам по ИБ приходится делать сложный выбор: обновлять ПО с риском получить вместе с исправлением недокументированные возможности или не обновлять и копить известные и неизвестные уязвимости.

Большая часть респондентов (31%) выбрала подход, когда обновляются только критически важные узлы, 29% выбрали увеличить сроки проверки ПО в тестовой среде перед обновлением. Этот метод помогает отследить аномальное поведение системы в закрытой среде и выявить наличие скрытых функций. Доля компаний банковской отрасли, приостановивших обновления на всех узлах, существенно ниже (14%), в сравнении с тем же показателем для всех отраслей (26%). Это в том числе говорит о том, что представители банковской сферы оценили риск взлома системы через накопленные уязвимости выше, чем риск получения обновления с недокументированными возможностями.

Посмотрим на связь ответов с размером финансовой компании (рис. 4).

Рисунок 4. Связь ответов респондентов с размером финансовой компании

 

Представители крупных кредитно-финансовых организаций в большинстве случаев обновляют только критически важные узлы (46%), средний бизнес сделал ставку на увеличение сроков проверки ПО в тестовой среде перед обновлением (38%), а среди малого бизнеса нет явного перевеса на каком-то одном из подходов (25% увеличили сроки проверки ПО в тестовой среде перед обновлением, 25% приостановили обновления на всех узлах, 25% не вносили изменения в регламенты).

 

СПЕЦИФИКА VM В КРЕДИТНО-ФИНАНСОВОЙ ОТРАСЛИ

Мы сравнили ответы респондентов из финансовой отрасли с ответами участников опроса из других отраслей. Ожидаемо банки уделяют больше внимания управлению уязвимостями. Для сферы финансов характерно следующее.

  • Гораздо ниже доля специалистов, которые не используют специализированные средства для выявления уязвимостей (2% против 15%). 
  • Отсутствие патч-менеджмента встречается реже, чем в целом по рынку (10% против 15%).
  • Средний срок устранения критически опасных уязвимостей на приоритетных для компании активах — один-два дня (38%), неделя (40%). Ни один из опрошенных специалистов банковской сферы не отметил вариант устранения критически опасных уязвимостей в течение полугода (0% против 10% специалистов других отраслей).
  • В банковской сфере действует более чёткое разделение ИБ и ИТ. Ни один из опрошенных не отметил, что устанавливает патчи самостоятельно (против 20%).

События 2022 года принесли специалистам по кибербезопасности новые вызовы, в том числе и службам ИБ банковской сферы.

Во-первых, мы отмечаем рост кибератак на российские компании. С одной стороны, это заставляет ответственно подходить к вопросам защиты — убедиться, что даже в нештатных ситуациях процесс vulnerability management работает и уязвимости инфраструктуры закрываются вовремя. С другой стороны, появился страх небезопасного обновления иностранного ПО, а соответственно, и невозможности закрытия в нём уязвимостей. Из-за этого компании вынуждены были вносить изменения в уже выстроенный процесс патч-менеджмента.

Во-вторых, на ситуацию влияет и массовый переход компаний с иностранного ПО на российские решения. Это обезопасит компании от риска получить недокументированные возможности через обновления, но при этом не снимает с компании задач проверки российского ПО на наличие уязвимостей. Тут нужно заранее думать о том, какие средства защиты поддерживают российские системы, а производители российского ПО, в свою очередь, должны корректно работать с уязвимостями — выпускать бюллетени безопасности, заводить уязвимости в БДУ ФСТЭК.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных