За да спечелиш партията, трябва да предвидиш следващия му ход и да планираш своите и неговите действия. Ако останем само на етапа, в който знаем кои системи са уязвими и къде, ние няма да сме победителите. Управлението на уязвимостите е нещо много повече от идентифицирането им - трябва да имаме план и стратегия.

Защо откриването на уязвимостите не е крайна цел

Инструментите за сканиране на уязвимости могат да идентифицират хиляди проблеми за минути. Звучи страхотно, но колко от тези уязвимости всъщност са критични за бизнеса? Да се обхванат всички е непосилна задача за която и да е организация, независимо от големината и ресурсите, с които разполага. Без приоритизация компаниите рискуват да се изгубят в цифри и списъци, а проблемите да останат нерешени. Откриването е първата стъпка, но не е решението. Истинското управление всъщност е в това да разбереш при кои уязвимости има реален риск, да действаш бързо и да провериш ефективността на мерките си.

Няколко истории

Историите за организации, които са пренебрегнали тези основни принципи за управление на уязвимостите, не са никак малко. Ето три от тях:

• WannaCry (2017)
  През 2017 година светът видя как един рансъмуер може да спре работата на болници и компании за дни. WannaCry използва уязвимост в Windows, за която Microsoft вече беше пуснала пач. Много от организациите обаче не бяха обновили системите си. В резултат над 230 000 компютри в над 150 държави бяха заразени.
• Equifax (2017)
  Пак през същата година Equifax, една от най-големите кредитни агенции в САЩ, стана жертва на хакерска атака, която се осъществи през уязвимост в Apache Struts. В резултат данните на 147 милиона американци бяха компрометирани, регистрирани бяха загуби в милиони долари и наложени огромни санкции. А ъпдейт за тази уязвимост беше пуснат няколко месеца по-рано.
• MOVEit Transfer (2023)
  През 2023 г. чрез експлоатиране на уязвимости за SQL инжектиране в MOVEit Transfer бяха компрометирани данните на хиляди организации и над 93 милиона лични данни. Този случай отново демонстрира как една оставена уязвимост в широко използван софтуер може да доведе до огромни щети и репутационни рискове.

💡 Историите са много и всички те показват, че да знаеш каква е уязвимостта не означава, че си защитен. Необходими са навременни действия.

🎯 Нашите експерти съветват

Как да превърнем откриването в реална защита - стъпка по стъпка

Кои са стъпките, които всяка организация трябва да следва при управлението на уязвимостите? Васил Генов, старши архитект “Сигурност” в CLICO България, съветва:

1. Инвентаризация и видимост (Asset Discovery)
Преди да започнете да сканирате за уязвимости, трябва да знаете какво притежавате. Не може да защитите това, което не виждате. Затова първата стъпка е да направите пълна карта на активите – сървъри, работни станции, облачни ресурси и приложения, включително т. нар. Shadow IT.

2. Стратегия и откриване (Assessment & Strategy)
Създайте стратегия, която да дефинира честотата на сканиране и обхвата, съобразени с политиките на организацията. Внедрете технологични решения за непрекъснато сканиране, а не само за периодични проверки.

3. Контекстуална приоритизация (Risk-Based Prioritization)
Не всички уязвимости са еднакви и CVSS рейтингът не е единственият критерий за оценка на уязвимостите. Фокусирайте се върху уязвимости, които са:

• Активно експлоатирани в момента (Threat Intelligence).
• Намират се върху критични за бизнеса системи.
• Достъпни са от интернет.

4. Планиране и сътрудничество (Collaboration)
Управлението на уязвимости не е работа само на екипа по сигурност. Разделете отговорностите ясно между екипите по ИТ операции (IT Operations), DevOps и сигурност (Security). Създайте споразумение за ниво на обслужване (SLA - Service Level Agreement), в което определете времето за реакция спрямо критичността на риска.

5. Реално третиране: пачване, смекчаване или приемане на риска
Инсталирането на пач (Patching) е идеалният сценарий, но не винаги е възможно да се приложи веднага. Процесът трябва да включва опции за:

• Смекчаване на риска (Mitigation) - промяна на конфигурации или изолация на системи (Virtual Patching), докато излезе официален ъпдейт.
• Приемане на риска (Acceptance) - формално приемане на риска, ако той е нисък или цената на отстраняване е твърде висока.

6. Верификация и отчетност
След отстраняване задължително направете повторно сканиране (Re-scan), за да потвърдите, че "вратата е затворена". Документирайте резултатите – това е ключово за одити и за извличане на поуки (Lessons Learned).

"Управлението на уязвимостите е умение да познаваш и управляваш слабостите си, преди злонамерените актьори да ги открият. То е гръбнакът на киберсигурността и е задължително условие за всяка организация, която цели съответствие с регулации като NIS2, DORA и GDPR, както и с предстоящия Cyber Resilience Act," категоричен е Васил Генов.

Истинското управление на уязвимости

Откриването на уязвимости е само началото. Управлението е това, което ги превръща в защита. Истинската стойност идва, когато организацията не само знае, но и действа бързо, системно и проверява ефективността си. Само тогава откриването се превръща в инструмент за защита, а не в безсмислен списък с потенциални проблеми. Впрочем това важи за всички сфери на киберсигурността.