
В 2024 году компании по всему миру потеряли сотни миллионов долларов из‑за кибератак, использующих давно известные уязвимости, — и почти все эти атаки можно было предотвратить. По данным Positive Technologies, за последние два года 32% успешных атак начались с эксплуатации уязвимостей, для которых уже существовали патчи. Среднее время появления рабочих эксплойтов сократилось вдвое — до 32 дней! — а во многих случаях эксплойт создают за пару суток. При этом 70% найденных уязвимостей были высокого и критического уровня опасности: они представляют наибольший интерес для злоумышленников. Рассказываем, как выстроить эффективную защиту от базовых и продвинутых угроз — без конфликтов между отделами и с минимальными затратами ресурсов.
Управление активами — фундамент работы с уязвимостями
Любая система безопасности начинается с понимания собственного инвентаря. Серверы, рабочие станции, сетевое оборудование, базы данных — весь этот «зоопарк» необходимо учитывать, прежде чем переходить к поиску и устранению уязвимостей. В противном случае формируется то, что зовут shadow IT, то есть устройства, сервисы или приложения в инфраструктуре компании, о которых служба безопасности не знает.
Пример: коллега работает в гибридном режиме и оставляет ноутбук в офисе, а дома использует свой личный, установив на него VPN для подключения к корпоративным сервисам, поскольку компания явно не запрещает использовать собственное оборудование для работы. В этом случае для команд ИТ и ИБ этот компьютер оказывается вне зоны видимости, так как ответственность за него несет сам сотрудник. Если на устройстве установлено старое ПО или устаревшая ОС — это подарок судьбы для атакующего: он определит уязвимую систему, запустит эксплойт и получит прямой доступ во внутреннюю инфраструктуру компании.
Управление активами — первый шаг к выстраиванию полноценной защиты компании, и на нем строится процесс управления уязвимостями. Невозможно защитить то, о чем не знаешь. Без детальной инвентаризации всех устройств и систем в инфраструктуре компании работа по устранению уязвимостей становится похожей на поиск иголки в стоге сена — с тем отличием, что иголок много, и каждая может стать точкой взлома.
Олег Кочетов
Лидер продуктовой практики MaxPatrol VM
Современные хакеры успешно используют принтеры, браузеры, SSH, LDAP, почтовые серверы и многое другое для удаленного выполнения кода, обхода СЗИ и захвата инфраструктуры. Абсолютным рекордсменом по количеству уязвимостей по‑прежнему остаются open‑source‑продукты. В проприетарных решениях тоже полно брешей, просто мы о них пока не знаем.
Базы уязвимостей превращают избыток данных в удобный инструмент
Регистрация уязвимости в международных базах данных, таких как CVE, — процесс нетривиальный. Исследователю предстоит пройти целый квест, чтобы идентификатор появился в базе: связаться с вендором, предоставить PoC, дождаться подтверждения и добиться признания и разрешения на публикацию после устранения уязвимости. И хотя процесс может занимать недели или даже месяцы, он критически важен для построения глобальной системы управления уязвимостями.
Картография угроз строится на данных из множества источников. Помимо всем известного CVE, в России активно используется БДУ ФСТЭК — база данных уязвимостей, ориентированная на отечественные продукты. БДУ решает критическую проблему скорости: локальные вендоры получают идентификаторы уязвимостей гораздо быстрее, чем при обращении к международным регуляторам. При этом часто одна и та же уязвимость получает идентификаторы и в БДУ, и в CVE — такая двойная индексация только повышает видимость проблемы.
Интересно, что свои базы уязвимостей поддерживают даже платформы разработки. Например, на GitHub любой разработчик может добавить запись о найденной уязвимости, присвоить ей временный идентификатор и в дальнейшем передать информацию в CVE. Но в этом процессе есть свой фильтр качества: сообщество регулярно проводит ревизию записей и отклоняет те, что не соответствуют критериям реальных угроз. Показательный пример: в 2023–2024 годах большое количество CVE‑уязвимостей для Linux‑систем были отозваны после тщательного пересмотра их актуальности и эксплуатабельности.
Главная проблема современного специалиста по ИБ — избыток информации. Ежедневно регистрируются десятки новых уязвимостей, но какие из них реально угрожают инфраструктуре? Для решения этой проблемы в Positive Technologies существует отдельная команда экспертов, выполняющая роль фильтра качества. Они анализируют каждую уязвимость по нескольким параметрам: подтверждено ли ее существование, насколько она интересна для потенциальных атакующих, есть ли данные об активной эксплуатации «в дикой природе»? В результате такой аналитической работы из тысяч уязвимостей, зарегистрированных в 2024 году, лишь 74 получили статус «трендовых» — тех, которые злоумышленники уже используют в атаках или могут начать эксплуатировать в ближайшем будущем.
Именно на таком подходе к обработке данных строится работа MaxPatrol VM. Вместо того чтобы заставлять пользователя самостоятельно сопоставлять разрозненные записи из разных баз, продукт формирует единую карточку уязвимости. В ней консолидирована вся значимая информация: идентификаторы CVE и BDU, бюллетени НКЦКИ — с удобными ссылками на первоисточники и экспертными комментариями. Информация о трендовых уязвимостях поступает в систему в течение 12 часов. Такой подход позволяет сфокусироваться на устранении реальных угроз, а не тратить время на информационный шум.
Самые резонансные уязвимости 2024 года
? CVE-2024–47177 (CUPS filters) — логическая уязвимость в Linux, macOS и iOS, которая позволяла через конфигурацию принтера запустить вредоносный код
? CVE-2024–38112 (MSHTML Spoofing) — позволяла в Windows запускать зловредный код в системе через старую версию Internet Explorer
? CVE-2024–6387 (regreSSHion) — позволяла хакерам атаковать систему прямо на этапе получения сервером SSH данных аутентификации и запускать произвольный код от имени пользователя root
? CVE-2024–49112 (LDAP Nightmare) — связана с Windows Lightweight Directory Access Protocol (LDAP), хакер мог вызвать циклическую принудительную перезагрузку серверов в компании
? CVE-2024–21378 — давала злоумышленникам возможность удаленно взаимодействовать с серверами Exchange и получить удаленный шелл
Как выстроить культуру безопасности — от рядового сотрудника до CEO
Работа с уязвимостями строится в двух направлениях. Первое — объяснить сотрудникам, почему нужно соблюдать элементарные меры безопасности: обновлять ПО, не клеить пароли на монитор, следовать корпоративным политикам. Важно наладить внутренние процессы и донести до каждого — от бухгалтера до топ‑менеджера — почему это необходимо. Правильно выстроенный vulnerability management помогает находить и устранять уязвимости до того, как до них доберутся злоумышленники. Это намного дешевле, чем разбираться с последствиями кибератак.
Второе — донести до руководства бизнес‑ценность этих действий: показать, как кибератаки влияют на репутацию, приводят к штрафам, срывают работу критически важных сервисов. Показательный пример — история с уязвимостью в 7-Zip. В январе 2025 года была выявлена критическая проблема в этом популярном архиваторе. Уязвимости присвоили идентификатор CVE, ее степень опасности оценили в 7 баллов. И хотя этот уровень не самый высокий, эксперты Positive Technologies отнесли ее к числу трендовых, поскольку ее быстро начали эксплуатировать. Уязвимость средней опасности способна стать каналом для утечек данных, компрометации аккаунтов и финансовых потерь.
Здесь лучший момент чтобы напомнить прописную истину: своевременное обновление софта — обязательная часть информационной гигиены.
Как ИТ и ИБ договариваются об устранении уязвимостей
Одна из ключевых проблем управления уязвимостями — коммуникация между ИТ и ИБ. Когда безопасники приходят к айтишнику с просьбой устранить уязвимость, но не могут показать, где именно она находится, работа стопорится. Чтобы устранить проблему, недостаточно назвать CVE — нужно четко указать, где устранить уязвимость (IP‑адреса или FQDN) и какие шаги необходимо предпринять для ее нейтрализации (обновить ПО или компонент системы, наложить патч безопасности или применить компенсирующие меры). MaxPatrol VM решает этот вопрос: продукт показывает все активы инфраструктуры и связывает их с конкретными уязвимостями. И тогда айтишники получают конкретику: где находится уязвимость, на каком устройстве, с какими параметрами. Это экономит время и упрощает планирование работ.
Однако внедрение правильных процессов и инструментов — только половина успеха. Критически важно, чтобы команда, отвечающая за безопасность, имела необходимые знания и навыки. Именно поэтому мы разработали курс‑практикум «Управление уязвимостями: от теории к практике». Он построен на многолетнем опыте работы с сотнями компаний и поможет выстроить эффективную систему управления уязвимостями в вашей организации.
Этот курс:
Понятен даже новичкам — позволяет шаг за шагом освоить ключевые навыки.
Насыщен экспертизой — охватывает все нюансы и этапы процесса управления уязвимостями.
Построен на практике — в основе лежат реальные кейсы, применимые к любому бизнесу.
Кому подойдет курс «Управление уязвимостями: от теории к практике»:
? начинающим специалистам по ИБ — для быстрого входа в профессию;
? опытным специалистам — для повышения квалификации;
? бизнесу — чтобы лучше понимать, как выстроить процесс управления уязвимостями.
Участники курса научатся эффективно предотвращать утечки данных и внедрять передовые практики в работу компании. Это поможет защитить бизнес, минимизировать риски, сэкономить время и ресурсы, а также улучшить внутренние процессы.
Как выстроить комплаенс-контроль
Итак, ситуация: новый сервер приходит с завода, на нем BIOS, контроллеры, сетевые карты и прошивки. Все это нужно проверить, прежде чем включать в рабочую сеть. Задача ИБ здесь простая: быстро оценить состояние оборудования, выявить слабые места и привести его к требованиям безопасности. Стандартный подход: сервер включают в отдельный сегмент сети, запускают утилиту для сбора информации о прошивках и конфигурации. Она проверяет версии драйверов, дефолтные пароли, открытые сервисы — и выдает список рекомендаций, что нужно исправить.
Дальше все зависит от зрелости процессов в компании. Вариант для организованных: есть понятные чек‑листы (ниже мы приводим пример такого универсального чек‑листа): что и как проверять, кто отвечает за конфиг, кто принимает в эксплуатацию. Вариант попроще — специалисты руками собирают данные, вручную сверяют с вендорскими гайдлайнами, формируют список доработок. Вариант понадежнее — зафиксировать этот процесс в регулярной практике: чтобы каждый новый сервер проверяли перед вводом в эксплуатацию по единой схеме. Без этого со временем инфраструктура обрастает старыми прошивками, незакрытыми сервисами и дефолтными логинами, которые открывают злоумышленнику путь внутрь сети.
Чек-лист безопасника: 8 шагов к построению процесса управления уязвимостями
-
Определить критически опасные для компании инциденты
Взлом инфраструктуры, кража денег, утечка конфиденциальных данных — для каждой компании есть свой список событий, которые не должны произойти. Сначала формулируем именно их. Без этого любые процессы в ИБ будут бессмысленным ритуалом.
-
Назначить роли и зоны ответственности
Кто сканирует активы?
Кто проводит инвентаризацию?
Кто устраняет уязвимости?
-
Кто контролирует исправления?
Один человек не сделает всего. Даже в небольшой компании задачи нужно разделять между людьми.
-
Оценить реальные ресурсы команды
Сколько уязвимостей выявляется?
-
Сколько может обработать один сотрудник?
Исходя из этого формируются адекватные ожидания к срокам и команде. SLA и KPI нужны для понимания нагрузки, а не для давления на сотрудников.
-
Подготовить техническую базу
Выделенные учетные записи для безопасников
Привилегированные доступы для админов
-
Профили сканирования под Windows, Linux и другие системы
Это базовые вещи, которые позволят работать быстрее.
-
Выстроить процесс выявления и устранения уязвимостей
Инвентаризация активов
Поиск уязвимостей по CVE, БДУ и другим источникам
Формирование рекомендаций для ИТ: что конкретно делать
Передача задач с понятными инструкциями
Контроль выполнения и повторная проверка
-
Обеспечить понятную коммуникацию между ИТ и ИБ
Безопасник обязан объяснить, зачем устранять конкретную уязвимость и что именно требуется от админа: обновить, отключить, удалить. Чем яснее задача — тем быстрее результат.
-
Автоматизировать контроль устранения
Отправка списков уязвимостей в виде Excel‑файлов — гарантированный способ похоронить задачу. Необходим процесс, при котором выполнение задач фиксируется и проверяется автоматически. Без этого уязвимости будут закрываться только на бумаге.
-
Следить за актуальностью процессов
Выстроенный однажды процесс не живет сам по себе. Его нужно обновлять: новые уязвимости, новые версии ПО, новые люди в команде. Управление уязвимостями — это непрерывная работа.