В 2024 году компании по всему миру потеряли сотни миллионов долларов из‑за кибератак, использующих давно известные уязвимости, — и почти все эти атаки можно было предотвратить. По данным Positive Technologies, за последние два года 32% успешных атак начались с эксплуатации уязвимостей, для которых уже существовали патчи. Среднее время появления рабочих эксплойтов сократилось вдвое — до 32 дней! — а во многих случаях эксплойт создают за пару суток. При этом 70% найденных уязвимостей были высокого и критического уровня опасности: они представляют наибольший интерес для злоумышленников. Рассказываем, как выстроить эффективную защиту от базовых и продвинутых угроз — без конфликтов между отделами и с минимальными затратами ресурсов.

Управление активами — фундамент работы с уязвимостями

Любая система безопасности начинается с понимания собственного инвентаря. Серверы, рабочие станции, сетевое оборудование, базы данных — весь этот «зоопарк» необходимо учитывать, прежде чем переходить к поиску и устранению уязвимостей. В противном случае формируется то, что зовут shadow IT, то есть устройства, сервисы или приложения в инфраструктуре компании, о которых служба безопасности не знает.

Пример: коллега работает в гибридном режиме и оставляет ноутбук в офисе, а дома использует свой личный, установив на него VPN для подключения к корпоративным сервисам, поскольку компания явно не запрещает использовать собственное оборудование для работы. В этом случае для команд ИТ и ИБ этот компьютер оказывается вне зоны видимости, так как ответственность за него несет сам сотрудник. Если на устройстве установлено старое ПО или устаревшая ОС — это подарок судьбы для атакующего: он определит уязвимую систему, запустит эксплойт и получит прямой доступ во внутреннюю инфраструктуру компании.

Управление активами — первый шаг к выстраиванию полноценной защиты компании, и на нем строится процесс управления уязвимостями. Невозможно защитить то, о чем не знаешь. Без детальной инвентаризации всех устройств и систем в инфраструктуре компании работа по устранению уязвимостей становится похожей на поиск иголки в стоге сена — с тем отличием, что иголок много, и каждая может стать точкой взлома.

Олег Кочетов

Лидер продуктовой практики MaxPatrol VM

Современные хакеры успешно используют принтеры, браузеры, SSH, LDAP, почтовые серверы и многое другое для удаленного выполнения кода, обхода СЗИ и захвата инфраструктуры. Абсолютным рекордсменом по количеству уязвимостей по‑прежнему остаются open‑source‑продукты. В проприетарных решениях тоже полно брешей, просто мы о них пока не знаем.

Базы уязвимостей превращают избыток данных в удобный инструмент

Регистрация уязвимости в международных базах данных, таких как CVE, — процесс нетривиальный. Исследователю предстоит пройти целый квест, чтобы идентификатор появился в базе: связаться с вендором, предоставить PoC, дождаться подтверждения и добиться признания и разрешения на публикацию после устранения уязвимости. И хотя процесс может занимать недели или даже месяцы, он критически важен для построения глобальной системы управления уязвимостями.

Картография угроз строится на данных из множества источников. Помимо всем известного CVE, в России активно используется БДУ ФСТЭК — база данных уязвимостей, ориентированная на отечественные продукты. БДУ решает критическую проблему скорости: локальные вендоры получают идентификаторы уязвимостей гораздо быстрее, чем при обращении к международным регуляторам. При этом часто одна и та же уязвимость получает идентификаторы и в БДУ, и в CVE — такая двойная индексация только повышает видимость проблемы.

Интересно, что свои базы уязвимостей поддерживают даже платформы разработки. Например, на GitHub любой разработчик может добавить запись о найденной уязвимости, присвоить ей временный идентификатор и в дальнейшем передать информацию в CVE. Но в этом процессе есть свой фильтр качества: сообщество регулярно проводит ревизию записей и отклоняет те, что не соответствуют критериям реальных угроз. Показательный пример: в 2023–2024 годах большое количество CVE‑уязвимостей для Linux‑систем были отозваны после тщательного пересмотра их актуальности и эксплуатабельности.

Главная проблема современного специалиста по ИБ — избыток информации. Ежедневно регистрируются десятки новых уязвимостей, но какие из них реально угрожают инфраструктуре? Для решения этой проблемы в Positive Technologies существует отдельная команда экспертов, выполняющая роль фильтра качества. Они анализируют каждую уязвимость по нескольким параметрам: подтверждено ли ее существование, насколько она интересна для потенциальных атакующих, есть ли данные об активной эксплуатации «в дикой природе»? В результате такой аналитической работы из тысяч уязвимостей, зарегистрированных в 2024 году, лишь 74 получили статус «трендовых» — тех, которые злоумышленники уже используют в атаках или могут начать эксплуатировать в ближайшем будущем.

Именно на таком подходе к обработке данных строится работа MaxPatrol VM. Вместо того чтобы заставлять пользователя самостоятельно сопоставлять разрозненные записи из разных баз, продукт формирует единую карточку уязвимости. В ней консолидирована вся значимая информация: идентификаторы CVE и BDU, бюллетени НКЦКИ — с удобными ссылками на первоисточники и экспертными комментариями. Информация о трендовых уязвимостях поступает в систему в течение 12 часов. Такой подход позволяет сфокусироваться на устранении реальных угроз, а не тратить время на информационный шум.

Самые резонансные уязвимости 2024 года

? CVE-2024–47177 (CUPS filters) — логическая уязвимость в Linux, macOS и iOS, которая позволяла через конфигурацию принтера запустить вредоносный код

? CVE-2024–38112 (MSHTML Spoofing) — позволяла в Windows запускать зловредный код в системе через старую версию Internet Explorer

? CVE-2024–6387 (regreSSHion) — позволяла хакерам атаковать систему прямо на этапе получения сервером SSH данных аутентификации и запускать произвольный код от имени пользователя root

? CVE-2024–49112 (LDAP Nightmare) — связана с Windows Lightweight Directory Access Protocol (LDAP), хакер мог вызвать циклическую принудительную перезагрузку серверов в компании

? CVE-2024–21378 — давала злоумышленникам возможность удаленно взаимодействовать с серверами Exchange и получить удаленный шелл

Как выстроить культуру безопасности — от рядового сотрудника до CEO

Работа с уязвимостями строится в двух направлениях. Первое — объяснить сотрудникам, почему нужно соблюдать элементарные меры безопасности: обновлять ПО, не клеить пароли на монитор, следовать корпоративным политикам. Важно наладить внутренние процессы и донести до каждого — от бухгалтера до топ‑менеджера — почему это необходимо. Правильно выстроенный vulnerability management помогает находить и устранять уязвимости до того, как до них доберутся злоумышленники. Это намного дешевле, чем разбираться с последствиями кибератак.

Второе — донести до руководства бизнес‑ценность этих действий: показать, как кибератаки влияют на репутацию, приводят к штрафам, срывают работу критически важных сервисов. Показательный пример — история с уязвимостью в 7-Zip. В январе 2025 года была выявлена критическая проблема в этом популярном архиваторе. Уязвимости присвоили идентификатор CVE, ее степень опасности оценили в 7 баллов. И хотя этот уровень не самый высокий, эксперты Positive Technologies отнесли ее к числу трендовых, поскольку ее быстро начали эксплуатировать. Уязвимость средней опасности способна стать каналом для утечек данных, компрометации аккаунтов и финансовых потерь.

Здесь лучший момент чтобы напомнить прописную истину: своевременное обновление софта — обязательная часть информационной гигиены.

Как ИТ и ИБ договариваются об устранении уязвимостей

Одна из ключевых проблем управления уязвимостями — коммуникация между ИТ и ИБ. Когда безопасники приходят к айтишнику с просьбой устранить уязвимость, но не могут показать, где именно она находится, работа стопорится. Чтобы устранить проблему, недостаточно назвать CVE — нужно четко указать, где устранить уязвимость (IP‑адреса или FQDN) и какие шаги необходимо предпринять для ее нейтрализации (обновить ПО или компонент системы, наложить патч безопасности или применить компенсирующие меры). MaxPatrol VM решает этот вопрос: продукт показывает все активы инфраструктуры и связывает их с конкретными уязвимостями. И тогда айтишники получают конкретику: где находится уязвимость, на каком устройстве, с какими параметрами. Это экономит время и упрощает планирование работ.

Однако внедрение правильных процессов и инструментов — только половина успеха. Критически важно, чтобы команда, отвечающая за безопасность, имела необходимые знания и навыки. Именно поэтому мы разработали курс‑практикум «Управление уязвимостями: от теории к практике». Он построен на многолетнем опыте работы с сотнями компаний и поможет выстроить эффективную систему управления уязвимостями в вашей организации.

Этот курс:

• Понятен даже новичкам — позволяет шаг за шагом освоить ключевые навыки.

• Насыщен экспертизой — охватывает все нюансы и этапы процесса управления уязвимостями.

• Построен на практике — в основе лежат реальные кейсы, применимые к любому бизнесу.

Кому подойдет курс «Управление уязвимостями: от теории к практике»:

? начинающим специалистам по ИБ — для быстрого входа в профессию;

? опытным специалистам — для повышения квалификации;

? бизнесу — чтобы лучше понимать, как выстроить процесс управления уязвимостями.

Участники курса научатся эффективно предотвращать утечки данных и внедрять передовые практики в работу компании. Это поможет защитить бизнес, минимизировать риски, сэкономить время и ресурсы, а также улучшить внутренние процессы.

Как выстроить комплаенс-контроль

Итак, ситуация: новый сервер приходит с завода, на нем BIOS, контроллеры, сетевые карты и прошивки. Все это нужно проверить, прежде чем включать в рабочую сеть. Задача ИБ здесь простая: быстро оценить состояние оборудования, выявить слабые места и привести его к требованиям безопасности. Стандартный подход: сервер включают в отдельный сегмент сети, запускают утилиту для сбора информации о прошивках и конфигурации. Она проверяет версии драйверов, дефолтные пароли, открытые сервисы — и выдает список рекомендаций, что нужно исправить.

Дальше все зависит от зрелости процессов в компании. Вариант для организованных: есть понятные чек‑листы (ниже мы приводим пример такого универсального чек‑листа): что и как проверять, кто отвечает за конфиг, кто принимает в эксплуатацию. Вариант попроще — специалисты руками собирают данные, вручную сверяют с вендорскими гайдлайнами, формируют список доработок. Вариант понадежнее — зафиксировать этот процесс в регулярной практике: чтобы каждый новый сервер проверяли перед вводом в эксплуатацию по единой схеме. Без этого со временем инфраструктура обрастает старыми прошивками, незакрытыми сервисами и дефолтными логинами, которые открывают злоумышленнику путь внутрь сети.

Чек-лист безопасника: 8 шагов к построению процесса управления уязвимостями

1. Определить критически опасные для компании инциденты

   Взлом инфраструктуры, кража денег, утечка конфиденциальных данных — для каждой компании есть свой список событий, которые не должны произойти. Сначала формулируем именно их. Без этого любые процессы в ИБ будут бессмысленным ритуалом.

2. Назначить роли и зоны ответственности

   • Кто сканирует активы?

   • Кто проводит инвентаризацию?

   • Кто устраняет уязвимости?

   • Кто контролирует исправления?

     Один человек не сделает всего. Даже в небольшой компании задачи нужно разделять между людьми.

3. Оценить реальные ресурсы команды

   • Сколько уязвимостей выявляется?

   • Сколько может обработать один сотрудник?

     Исходя из этого формируются адекватные ожидания к срокам и команде. SLA и KPI нужны для понимания нагрузки, а не для давления на сотрудников.

4. Подготовить техническую базу

   • Выделенные учетные записи для безопасников

   • Привилегированные доступы для админов

   • Профили сканирования под Windows, Linux и другие системы

     Это базовые вещи, которые позволят работать быстрее.

5. Выстроить процесс выявления и устранения уязвимостей

   • Инвентаризация активов

   • Поиск уязвимостей по CVE, БДУ и другим источникам

   • Формирование рекомендаций для ИТ: что конкретно делать

   • Передача задач с понятными инструкциями

   • Контроль выполнения и повторная проверка

6. Обеспечить понятную коммуникацию между ИТ и ИБ

   Безопасник обязан объяснить, зачем устранять конкретную уязвимость и что именно требуется от админа: обновить, отключить, удалить. Чем яснее задача — тем быстрее результат.

7. Автоматизировать контроль устранения

   Отправка списков уязвимостей в виде Excel‑файлов — гарантированный способ похоронить задачу. Необходим процесс, при котором выполнение задач фиксируется и проверяется автоматически. Без этого уязвимости будут закрываться только на бумаге.

8. Следить за актуальностью процессов

   Выстроенный однажды процесс не живет сам по себе. Его нужно обновлять: новые уязвимости, новые версии ПО, новые люди в команде. Управление уязвимостями — это непрерывная работа.