Дисциплины в банках больше. Управление уязвимостями в кредитно-финансовых организациях

BIS Journal №4(47)2022

24 ноября, 2022

Дисциплины в банках больше. Управление уязвимостями в кредитно-финансовых организациях

Недавно мы провели опрос специалистов по кибербезопасности, чтобы выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских компаниях. Специально для читателей BIS Journal рассмотрим результаты опроса представителей ИБ в привязке к кредитно-финансовой отрасли.

В исследовании приняли участие эксперты из 42 компаний банковского сектора, из них 50% относятся к средним по размеру организациям (от 250 до 3000 сотрудников), 31% — к крупным (более 3000 сотрудников), 19% — к небольшим (до 250 сотрудников).

 

ИНСТРУМЕНТЫ VM В БАНКАХ

Для работы с уязвимостями специалисты по ИБ банковской отрасли используют в основном российские коммерческие VM-решения (50%) (рис. 1).

Рисунок 1. Какие продукты для управления уязвимостями используют в кредитно-финансовой отрасли

 

По сравнению с общей тенденцией по рынку, в банковской сфере выше доля тех, кто собирается перейти на российские решения (31% против 18%). Такой тренд можно объяснить тем, что к субъектам критической информационной инфраструктуры, к которым в большинстве своём относятся и финансовые организации, применимо требование о переходе со средств защиты информации из недружественных государств, согласно Указу Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации».

Несмотря на это, доля тех компаний, которые готовы продолжать использование иностранных решений в кредитно-финансовой сфере, выше, чем по всему рынку (21% против 8%). При этом больше половины опрошенных используют иностранное решение вместе с open-source-сканерами (56%), а треть — вместе с российским VM-решением (33%). Оставаться на иностранных решениях всё сложнее для российских пользователей. Во-первых, они перестают получать официальные обновления, то есть информацию о новых уязвимостях. Во-вторых, российские компании сейчас переходят на отечественное ПО, и нужно решать, как анализировать его защищённость, — и тут иностранные VM-решения не помогут с поддержкой сканирования отечественного ПО.

Треть специалистов отметили, что прибегают к решениям open source для выявления уязвимостей (31%). Однако рост интереса к open-source-решениям имеет нюансы. Во-первых, применение opensourceвызовет необходимость в высококвалифицированных специалистах — тех, кто знает, как самостоятельно поддерживать и развивать данное ПО в соответствии с запросами компании. Либо таких специалистов будут нанимать в штат, либо компании будут использовать сервисную модель, то есть платить сторонним организациям, которые будут дорабатывать и обслуживать исходно бесплатное ПО. Во-вторых, сейчас меняется подход к обеспечению безопасности. В банковской отрасли цена ошибки слишком высока: организация напрямую оперирует большими денежными потоками. Остро встанет вопрос надёжности и безопасности кода программы. Если раньше пользователи полагались только на вендора и аттестацию, сертификацию регуляторов, то теперь необходимо будет самостоятельно контролировать надёжность и безопасность решений: создавать карантин для обновлений и тестировать обновления на наличие скрытых функций. Главное, ни в коем случае не обновлять напрямую ПО из интернета без проверки.

 

ОЖИДАНИЯ ОТ VM-РЕШЕНИЙ

Мы спросили участников опроса, какими возможностями должна обладать VM-система для решения задач компании. 71% респондентов из финансового сектора отметили, что нуждаются в интеграции VM-продукта с другими решениями для ИБ. 62% участников опроса отметили, что хотят получать уведомления о новых уязвимостях от вендора.

64% специалистов отметили учёт значимости активов сети. Это позволяет упорядочить работу, вовремя обращать внимание на активы, эксплуатация уязвимостей на которых может нанести больше всего вреда организации. В новой версии системы управления уязвимостями MaxPatrol VM можно автоматизировать присвоение значимости IT-активам. Например, задать высокий уровень значимости всем контроллерам домена. Также продукт информирует пользователя о новых, ещё не оценённых активах. Это позволит специалистам по ИБ тратить меньше времени на ручную обработку результатов сканирования (рис. 2).

Рисунок 2. Какими возможностями должно обладать VM-решение, по мнению представителей финансовых компаний

 

ИЗМЕНЕНИЯ В ПАТЧ-МЕНЕДЖМЕНТЕ

За последние несколько месяцев изменения произошли и в подходах компаний к патч-менеджменту иностранного ПО и open-source-решений (рис. 3).

Рисунок 3. Как в 2022 году компании финансового сектора изменили процесс патч-менеджмента

 

74% специалистов из банковской отрасли внесли изменения в патч-менеджмент после февраля 2022 года. На решение повлиял возросший риск получить недекларированные возможности в новых обновлениях от иностранных вендоров. Специалистам по ИБ приходится делать сложный выбор: обновлять ПО с риском получить вместе с исправлением недокументированные возможности или не обновлять и копить известные и неизвестные уязвимости.

Большая часть респондентов (31%) выбрала подход, когда обновляются только критически важные узлы, 29% выбрали увеличить сроки проверки ПО в тестовой среде перед обновлением. Этот метод помогает отследить аномальное поведение системы в закрытой среде и выявить наличие скрытых функций. Доля компаний банковской отрасли, приостановивших обновления на всех узлах, существенно ниже (14%), в сравнении с тем же показателем для всех отраслей (26%). Это в том числе говорит о том, что представители банковской сферы оценили риск взлома системы через накопленные уязвимости выше, чем риск получения обновления с недокументированными возможностями.

Посмотрим на связь ответов с размером финансовой компании (рис. 4).

Рисунок 4. Связь ответов респондентов с размером финансовой компании

 

Представители крупных кредитно-финансовых организаций в большинстве случаев обновляют только критически важные узлы (46%), средний бизнес сделал ставку на увеличение сроков проверки ПО в тестовой среде перед обновлением (38%), а среди малого бизнеса нет явного перевеса на каком-то одном из подходов (25% увеличили сроки проверки ПО в тестовой среде перед обновлением, 25% приостановили обновления на всех узлах, 25% не вносили изменения в регламенты).

 

СПЕЦИФИКА VM В КРЕДИТНО-ФИНАНСОВОЙ ОТРАСЛИ

Мы сравнили ответы респондентов из финансовой отрасли с ответами участников опроса из других отраслей. Ожидаемо банки уделяют больше внимания управлению уязвимостями. Для сферы финансов характерно следующее.

  • Гораздо ниже доля специалистов, которые не используют специализированные средства для выявления уязвимостей (2% против 15%). 
  • Отсутствие патч-менеджмента встречается реже, чем в целом по рынку (10% против 15%).
  • Средний срок устранения критически опасных уязвимостей на приоритетных для компании активах — один-два дня (38%), неделя (40%). Ни один из опрошенных специалистов банковской сферы не отметил вариант устранения критически опасных уязвимостей в течение полугода (0% против 10% специалистов других отраслей).
  • В банковской сфере действует более чёткое разделение ИБ и ИТ. Ни один из опрошенных не отметил, что устанавливает патчи самостоятельно (против 20%).

События 2022 года принесли специалистам по кибербезопасности новые вызовы, в том числе и службам ИБ банковской сферы.

Во-первых, мы отмечаем рост кибератак на российские компании. С одной стороны, это заставляет ответственно подходить к вопросам защиты — убедиться, что даже в нештатных ситуациях процесс vulnerability management работает и уязвимости инфраструктуры закрываются вовремя. С другой стороны, появился страх небезопасного обновления иностранного ПО, а соответственно, и невозможности закрытия в нём уязвимостей. Из-за этого компании вынуждены были вносить изменения в уже выстроенный процесс патч-менеджмента.

Во-вторых, на ситуацию влияет и массовый переход компаний с иностранного ПО на российские решения. Это обезопасит компании от риска получить недокументированные возможности через обновления, но при этом не снимает с компании задач проверки российского ПО на наличие уязвимостей. Тут нужно заранее думать о том, какие средства защиты поддерживают российские системы, а производители российского ПО, в свою очередь, должны корректно работать с уязвимостями — выпускать бюллетени безопасности, заводить уязвимости в БДУ ФСТЭК.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

28.03.2024
Аитов: Ограничения Samsung Pay на использование карт «Мир» можно обойти
28.03.2024
Киберпреступления — 35% всех преступлений в России
28.03.2024
Почему путешествовать «налегке» не всегда хорошо
28.03.2024
«Тинькофф»: Несколько платёжных систем лучше, чем одна
28.03.2024
В РФ готовят базу для «усиленной блокировки» незаконного контента
27.03.2024
Samsung Pay перестанет дружить с «мировыми» картами
27.03.2024
Канадский университет восстанавливает работу после ИБ-инцидента
27.03.2024
Crypto Summit 2024. Трейдинг, майнинг и перспективы развития рынка ЦФА
27.03.2024
РКН начал работу по контролю за «симками» иностранцев
26.03.2024
Регулятор порекомендовал банкам и МФО списать долги погибших в теракте

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных