Дисциплины в банках больше. Управление уязвимостями в кредитно-финансовых организациях
Недавно мы провели опрос специалистов по кибербезопасности, чтобы выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских компаниях. Специально для читателей BIS Journal рассмотрим результаты опроса представителей ИБ в привязке к кредитно-финансовой отрасли.
В исследовании приняли участие эксперты из 42 компаний банковского сектора, из них 50% относятся к средним по размеру организациям (от 250 до 3000 сотрудников), 31% — к крупным (более 3000 сотрудников), 19% — к небольшим (до 250 сотрудников).
ИНСТРУМЕНТЫ VM В БАНКАХ
Для работы с уязвимостями специалисты по ИБ банковской отрасли используют в основном российские коммерческие VM-решения (50%) (рис. 1).
Рисунок 1. Какие продукты для управления уязвимостями используют в кредитно-финансовой отрасли
По сравнению с общей тенденцией по рынку, в банковской сфере выше доля тех, кто собирается перейти на российские решения (31% против 18%). Такой тренд можно объяснить тем, что к субъектам критической информационной инфраструктуры, к которым в большинстве своём относятся и финансовые организации, применимо требование о переходе со средств защиты информации из недружественных государств, согласно Указу Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».
Несмотря на это, доля тех компаний, которые готовы продолжать использование иностранных решений в кредитно-финансовой сфере, выше, чем по всему рынку (21% против 8%). При этом больше половины опрошенных используют иностранное решение вместе с open-source-сканерами (56%), а треть — вместе с российским VM-решением (33%). Оставаться на иностранных решениях всё сложнее для российских пользователей. Во-первых, они перестают получать официальные обновления, то есть информацию о новых уязвимостях. Во-вторых, российские компании сейчас переходят на отечественное ПО, и нужно решать, как анализировать его защищённость, — и тут иностранные VM-решения не помогут с поддержкой сканирования отечественного ПО.
Треть специалистов отметили, что прибегают к решениям open source для выявления уязвимостей (31%). Однако рост интереса к open-source-решениям имеет нюансы. Во-первых, применение opensourceвызовет необходимость в высококвалифицированных специалистах — тех, кто знает, как самостоятельно поддерживать и развивать данное ПО в соответствии с запросами компании. Либо таких специалистов будут нанимать в штат, либо компании будут использовать сервисную модель, то есть платить сторонним организациям, которые будут дорабатывать и обслуживать исходно бесплатное ПО. Во-вторых, сейчас меняется подход к обеспечению безопасности. В банковской отрасли цена ошибки слишком высока: организация напрямую оперирует большими денежными потоками. Остро встанет вопрос надёжности и безопасности кода программы. Если раньше пользователи полагались только на вендора и аттестацию, сертификацию регуляторов, то теперь необходимо будет самостоятельно контролировать надёжность и безопасность решений: создавать карантин для обновлений и тестировать обновления на наличие скрытых функций. Главное, ни в коем случае не обновлять напрямую ПО из интернета без проверки.
ОЖИДАНИЯ ОТ VM-РЕШЕНИЙ
Мы спросили участников опроса, какими возможностями должна обладать VM-система для решения задач компании. 71% респондентов из финансового сектора отметили, что нуждаются в интеграции VM-продукта с другими решениями для ИБ. 62% участников опроса отметили, что хотят получать уведомления о новых уязвимостях от вендора.
64% специалистов отметили учёт значимости активов сети. Это позволяет упорядочить работу, вовремя обращать внимание на активы, эксплуатация уязвимостей на которых может нанести больше всего вреда организации. В новой версии системы управления уязвимостями MaxPatrol VM можно автоматизировать присвоение значимости IT-активам. Например, задать высокий уровень значимости всем контроллерам домена. Также продукт информирует пользователя о новых, ещё не оценённых активах. Это позволит специалистам по ИБ тратить меньше времени на ручную обработку результатов сканирования (рис. 2).
Рисунок 2. Какими возможностями должно обладать VM-решение, по мнению представителей финансовых компаний
ИЗМЕНЕНИЯ В ПАТЧ-МЕНЕДЖМЕНТЕ
За последние несколько месяцев изменения произошли и в подходах компаний к патч-менеджменту иностранного ПО и open-source-решений (рис. 3).
Рисунок 3. Как в 2022 году компании финансового сектора изменили процесс патч-менеджмента
74% специалистов из банковской отрасли внесли изменения в патч-менеджмент после февраля 2022 года. На решение повлиял возросший риск получить недекларированные возможности в новых обновлениях от иностранных вендоров. Специалистам по ИБ приходится делать сложный выбор: обновлять ПО с риском получить вместе с исправлением недокументированные возможности или не обновлять и копить известные и неизвестные уязвимости.
Большая часть респондентов (31%) выбрала подход, когда обновляются только критически важные узлы, 29% выбрали увеличить сроки проверки ПО в тестовой среде перед обновлением. Этот метод помогает отследить аномальное поведение системы в закрытой среде и выявить наличие скрытых функций. Доля компаний банковской отрасли, приостановивших обновления на всех узлах, существенно ниже (14%), в сравнении с тем же показателем для всех отраслей (26%). Это в том числе говорит о том, что представители банковской сферы оценили риск взлома системы через накопленные уязвимости выше, чем риск получения обновления с недокументированными возможностями.
Посмотрим на связь ответов с размером финансовой компании (рис. 4).
Рисунок 4. Связь ответов респондентов с размером финансовой компании
Представители крупных кредитно-финансовых организаций в большинстве случаев обновляют только критически важные узлы (46%), средний бизнес сделал ставку на увеличение сроков проверки ПО в тестовой среде перед обновлением (38%), а среди малого бизнеса нет явного перевеса на каком-то одном из подходов (25% увеличили сроки проверки ПО в тестовой среде перед обновлением, 25% приостановили обновления на всех узлах, 25% не вносили изменения в регламенты).
СПЕЦИФИКА VM В КРЕДИТНО-ФИНАНСОВОЙ ОТРАСЛИ
Мы сравнили ответы респондентов из финансовой отрасли с ответами участников опроса из других отраслей. Ожидаемо банки уделяют больше внимания управлению уязвимостями. Для сферы финансов характерно следующее.
- Гораздо ниже доля специалистов, которые не используют специализированные средства для выявления уязвимостей (2% против 15%).
- Отсутствие патч-менеджмента встречается реже, чем в целом по рынку (10% против 15%).
- Средний срок устранения критически опасных уязвимостей на приоритетных для компании активах — один-два дня (38%), неделя (40%). Ни один из опрошенных специалистов банковской сферы не отметил вариант устранения критически опасных уязвимостей в течение полугода (0% против 10% специалистов других отраслей).
- В банковской сфере действует более чёткое разделение ИБ и ИТ. Ни один из опрошенных не отметил, что устанавливает патчи самостоятельно (против 20%).
События 2022 года принесли специалистам по кибербезопасности новые вызовы, в том числе и службам ИБ банковской сферы.
Во-первых, мы отмечаем рост кибератак на российские компании. С одной стороны, это заставляет ответственно подходить к вопросам защиты — убедиться, что даже в нештатных ситуациях процесс vulnerability management работает и уязвимости инфраструктуры закрываются вовремя. С другой стороны, появился страх небезопасного обновления иностранного ПО, а соответственно, и невозможности закрытия в нём уязвимостей. Из-за этого компании вынуждены были вносить изменения в уже выстроенный процесс патч-менеджмента.
Во-вторых, на ситуацию влияет и массовый переход компаний с иностранного ПО на российские решения. Это обезопасит компании от риска получить недокументированные возможности через обновления, но при этом не снимает с компании задач проверки российского ПО на наличие уязвимостей. Тут нужно заранее думать о том, какие средства защиты поддерживают российские системы, а производители российского ПО, в свою очередь, должны корректно работать с уязвимостями — выпускать бюллетени безопасности, заводить уязвимости в БДУ ФСТЭК.
.jpg)
.jpg)
.jpg)