Как в ВТБ автоматизировали процесс управления уязвимостями при помощи R-Vision VM и разгрузили сотрудников

В России по итогам 2023 года ущерб от хакерских атак составил 156 млрд рублей на 680 000 зарегистрированных киберпреступлений. При этом растет и число инцидентов, связанных с эксплуатацией уязвимостей: на сегодняшний день это один из самых популярных методов взлома ИТ-инфраструктуры.

По данным компании R-Vision, в ИТ-инфраструктуре крупной финансовой организации может быть от 10 000 до 400 000 ИТ-активов, включая сетевое оборудование, информационные системы, серверы, рабочие станции и т.д. Важно учесть, что это количество не статичное и регулярно меняется: бизнес растет и масштабируется, активов становится еще больше, и за ними нужно осуществлять непрерывный контроль. Не говоря уже об уязвимостях, число которых увеличивается вместе с объемами ИТ-инфраструктуры.

Многие компании по-прежнему управляют уязвимостями вручную, что может быть не только неэффективным, но и избыточно трудоемким для ИБ-специалистов и ИТ-департамента. При «ручном» управлении уходит много времени на сбор информации об ИТ-активах организации, их приоритизацию, обработку данных по уязвимостям, поиск и срочное устранение критичных уязвимостей, согласование их устранения с ИТ, подготовку отчетов для руководства. Кроме того, из-за человеческого фактора могут возникать ошибки: невозможно безошибочно и точно обработать вручную миллионы уязвимостей.

Для того, чтобы правильно выстроить и автоматизировать процесс управления уязвимостями, нужна специальная система, которая возьмет на себя все этапы цикличного процесса Vulnerability Management: от учета и приоритизации активов до обнаружения и контроля устранения уязвимостей. Компания R-Vision, российский разработчик систем кибербезопасности, уже более 7 лет решает задачи управления уязвимостями. В статье мы поделимся опытом, как можно эффективно выстроить и автоматизировать процесс Vulnerability Management с помощью продукта R-Vision VM на примере финансовой группы ВТБ.

Как Группа ВТБ автоматизировала управление уязвимостями при помощи R-Vision VM

В ВТБ, как и в большинстве крупных финансовых организациях, к вопросам информационной безопасности подходят максимально ответственно. Сложная и разветвленная ИТ-инфраструктура, насчитывающая более 500 000 хостов, а также разнообразие ИТ-систем, требуют применения продвинутого и централизованного подхода к управлению уязвимостями. Любое из слабых мест может стать лазейкой для злоумышленников, что может привести не только к финансовым потерям у бизнеса и клиентов, но и нанести серьезный ущерб репутации. Для ВТБ такой вариант развития событий недопустим, поэтому компания предпринимает все необходимые меры, чтобы предотвратить любые возможные угрозы и обеспечить безопасную и бесперебойную работу всех сервисов и систем.

Первоначально в компании весь процесс Vulnerability Management строился на базе собственных решений, поддержка которых требовала больших трудозатрат. Это отнимало у специалистов банка слишком много времени и создавало трудности в синхронизации между отделами ИБ и ИТ. Службе ИБ приходилось вручную приоритизировать сотни тысяч активов и уязвимостей, строить взаимосвязи между критичными хостами и обнаруженными на них уязвимостями.

Не всегда было понятно, насколько выявленная уязвимость опасна для конкретных активов, а аналитика занимала много времени и не всегда могла быть точной. Также много времени уходило на составление отчетов и планов для ИТ-подразделения, чтобы они могли оперативно устранить найденные уязвимости через установку обновлений или другие компенсирующие меры. Когда необходимость в автоматизации процесса Vulnerability Management стала очевидной для ВТБ, они решили обратиться к компании R-Vision, у которой накоплена большая экспертиза по выстраиванию и автоматизации киберзащиты в крупных организациях при помощи собственных технологий.

В ходе реализации проекта по оптимизации процесса управления уязвимостями, специалисты R-Vision совместно с коллегами из ВТБ изучили текущий процесс и сосредоточились на нескольких важнейших этапах, куда вошли:

• Выстраивание ресурсно-сервисной модели активов с автоматической приоритизацией.
• Импорт отчетов с уязвимостями из существующего в компании сканера уязвимостей и их последующая приоритизация.
• Формирование отчета-плана для ИТ-подразделения с указанием уязвимости, связанного актива и патчем для устранения.
• Создание и отправка задач на устранение в ИТ-подразделение.
• Повторное сканирование и контроль задач по устранению.
• Автоматическое заведение инцидента информационной безопасности в случае повторного обнаружения уязвимости.

В период реализации проекта наша команда располагала ограниченными ресурсами, и нам было непросто справиться со всеми задачами по обнаружению и устранению уязвимостей в полной мере. Когда в службу ИТ поступают тысячи, а то и сотни тысяч неприоритизированных уязвимостей, очень сложно быстро и точно определить, какие из них критичные, а какие нет. Не говоря уже о том, чтобы их своевременно устранить. В нашей компании уязвимости делятся на 2 категории: те, которые устраняются в плановом порядке путем установки регулярных обновлений, и те, которые требуют немедленного устранения, так как они представляют наибольшую опасность и располагаются на критичных активах. Как раз такие уязвимости из второй категории нам необходимо оперативно выявлять и устранять, что очень сложно сделать без продукта по управлению уязвимостями. Благодаря автоматизации объем критичных уязвимостей сократился максимум до 1 000. Это позволило нашим коллегам сосредоточиться именно на их устранении, что свело объем ручного труда к нулю, снизило вероятность ошибок, связанных с человеческим фактором. В результате процесс реагирования на угрозы был значительно ускорен. Оперативность обработки свелась к считанным минутам: как только уязвимости поступают из сканера, система сразу начинает их обрабатывать, и тут же задачи на устранения попадают в ИТ-службу. Максим Шалыгин, начальник отдела киберразведки и киберучений ВТБ.

Устранить все уязвимости невозможно, особенно когда ресурсы отделов ИБ и ИТ ограничены. Чтобы облегчить задачу, необходимо разделить активы и уязвимости на группы, определить, какие из них требуют первоочередного внимания. Это позволит ИБ-специалистам быстрее и точнее оценивать значимость и распространенность уязвимостей в ИТ-инфраструктуре. R-Vision VM автоматически приоритизирует каждую уязвимость и помогает выявлять бизнес-риски и приоритеты для исправления наиболее критичных проблем. Рейтинг уязвимости динамичен и может меняться в зависимости от текущих условий, таких как статус, расположение актива и принятые меры. Это позволяет системе своевременно уведомлять о критичности уязвимостей и необходимости их устранения. Андрей Селиванов, менеджер по продукту VM компании R-Vision.

Учитывая масштаб и сложность существующих процессов в ВТБ, было необходимо адаптировать решение под уникальные потребности банка, чтобы оно соответствовало внутренним стандартам и требованиям.

В проектах такого масштаба неизбежно возникают сложности, связанные со спецификой существующих в организации процессов или требований локальных нормативных актов. Проект ВТБ не стал исключением. Несмотря на гибкость продукта, нам потребовалось решить несколько нестандартных задач, которые позволили выстроить полноценный процесс управления уязвимостями на базе R-Vision VM. Например, для обработки отчетов из существующего сканера уязвимостей нужно было выполнить специфические требования по приоритизации уязвимостей. В ходе проекта также была реализована двусторонняя интеграция с имеющейся в банке системой Service Desk для полноценного взаимодействия с ИТ-подразделением при постановке задач на устранение уязвимостей и их последующем контроле. Андрей Селиванов.

В результате проекта ВТБ полностью автоматизировал у себя весь процесс работы с уязвимостями, высвободив время и ресурсы сотрудников ИБ на решение других ИБ-задач. Это повысило эффективность управления информационной безопасностью и общий уровень защищенности ИТ-инфраструктуры банка. Сотрудничество между сотрудниками ИБ и ИТ стало более продуктивным. Кроме того, это помогло избежать ошибок, связанных с человеческим фактором при оценке уязвимостей и определении их приоритетов.

В завершение хотим напомнить: убытки от киберпреступлений, в том числе и связанных с использованием уязвимостей, в десятки раз превышают стоимость инвестиций в профессиональные средства защиты информации, включая систему управления уязвимостями R-Vision VM.