Positive Technologies: разногласия между отделами ИТ и ИБ сказываются на безопасности бизнеса

10.11.2020 22:48

Пресс-релиз компании Positive Technologies

Компания Positive Technologies провела опрос среди экспертов по ИБ с целью выяснить, как построен процесс управления уязвимостями (vulnerability management) в российских организациях. В опросе участвовали специалисты по ИБ из госсектора (22%), кредитно-финансовых организаций (17%), промышленных (17%) и IT-компаний (16%), ТЭК (9%) и других отраслей (19%).

Как показал опрос, больше всего времени специалисты по ИБ тратят на разбор результатов сканирования на наличие уязвимостей в IT-инфраструктуре и на попытки убедить IT-специалистов в необходимости установить обновления (так ответили 48% респондентов). Кроме того, прослеживается тенденция: чем больше компания, тем сложнее специалистам по ИБ договориться с IT-отделом. Если для представителей малого бизнеса наиболее трудоемкий процесс — анализ результатов сканирования (50% респондентов), то для представителей среднего и крупного бизнеса это согласование установки обновлений (55% и 56% соответственно).

Также к трудоёмким задачам 31% специалистов отнесли проверку устранения уязвимостей (это характерно как для больших, так и для малых компаний).

В ходе опроса 11% респондентов рассказали, что им приходится отдельно обосновывать устранение каждой уязвимости. При этом 11% опрошенных не проверяют, устранил ли IT-отдел обнаруженные уязвимости. Это говорит о том, что во многих российских компаниях отсутствует такой важный этап процесса vulnerability management, как контроль уровня защищенности IT-активов.

Не все специалисты спешат устанавливать обновления — каждый десятый опрошенный ответил, что в его компании критически опасные уязвимости на важных активах не устраняются более полугода. Компании затягивают с обновлениями, в то время как злоумышленники действуют быстро и адаптируют новейшие эксплойты для своих атак иногда в течение суток.

«Управление уязвимостями должно быть эффективным как в штатном режиме, так и при экстренной проверке, — говорит Анастасия Ляшенко, менеджер по продуктовому маркетингу компании Positive Technologies. — Мы попросили респондентов ответить, чтó они будут делать в первую очередь, если узнают о новой серьезной уязвимости в ПО. Половине опрошенных понадобится провести дополнительное сканирование, чтобы узнать о существовании в сети уязвимого ПО, 19% смогут сразу принять меры по защите компании. Учитывая сложный процесс согласования полноценного сканирования во многих компаниях, оперативно узнать, опасна ли новая уязвимость для инфраструктуры, будет затруднительно. Эффективнее, если система управления уязвимостями сохраняет информацию о просканированных активах и может высчитывать применимость новой уязвимости к сети автоматически на основании прошлого сканирования».

Опрос показал, что в процессе vulnerability management специалисты по ИБ сталкиваются со множеством сложных задач. Решить их будут способны специальные системы, которые помогают правильно выстроить управление активами (asset management), соблюдение регламентов по сканированию, контроль устранения уязвимостей, а также тесное сотрудничество службы ИБ с IT-подразделением.

ptsecurity.com

Мнение специалиста

Последний вышедший номер

Читайте в номере:

Анализ соответствия человеко-машинного интерфейса автоматизированных рабочих мест персонала блочного пункта управления Ленинградской АЭС-2 современным подходам по проектированию

Многоуровневая оперативная оптимизация технологического режима установок подготовки нефти

Система мониторинга и прогнозирования скорости роста коррозионных повреждений резервуаров для хранения нефти и нефтепродуктов

Применение сетевых моделей в социальных, технических и биологических системах. I. Модели представления знаний

Адрес редакции: 117997, Москва, Профсоюзная ул., д. 65, оф. 360
Телефон: (926) 212-60-97.
E-mail: info@avtprom.ru или avtprom@ipu.ru

Сайт «Автоматизация в промышленности» предназначен для специалистов по промышленной автоматизации: главных инженеров, главных энергетиков, главных механиков, главных метрологов, инженеров служб АСУ ТП, АСУТП, КИПиА, КИП и А, отделов метрологии, отделов автоматизации, отделов главного инженера, специалистов инжиниринговых и внедренческих фирм, менеджеров фирм системных интеграторов, преподавателей вузов, научных работников, сотрудников научно-исследовательских институтов, студентов и аспирантов.

Сайт «Автоматизация в промышленности» неразрывно связан с одноименным журналом, в котором публикуются концептуальные, научно-практические и внедренческие статьи, посвященные промышленным автоматизированным системам, системам управления бизнес-процессов, программному и алгоритмическому обеспечению, техническим средствам автоматизации, вопросам сертификации, описанию промышленных стандартов, а также обзоры зарубежной прессы.

В каждом номере проводится обсуждение актуальных тем по проблемам создания и применения следующего инструментария: интегрированные АСУ, MES, АСУ П, АСУ ТП, SCADA, АСКУЭ, EAM, ТОИР, ERP, LIMS, ЛИУС, распределенные системы управления, РСУ, система управления качеством выпускаемой продукции, промышленные тренажеры, современные методы и алгоритмы управления и моделирования, коммуникационные средства, GSM–связь, РС-совместимые контроллеры, ПК, человеко-машинный интерфейс, встраиваемые системы, Web-технологии, HTML-технологии, числовое программное управление, ЧПУ, виртуальные приборы, виртуальное измерение, беспроводная связь, имитационное моделирование, Ethernet, Internet-технологии, Industry 4.0, Интернет вещей, промышленный Интернет вещей, IIoT, IoT, Четвертая промышленная революция, навигационные системы, роботы, датчики, сенсоры, диагностика клапанов, водоподготовка, экологические системы, производственная безопасность, идентификация, RFID-технологии, машинное зрение, промышленные сети, средства промышленного монтажа, корпуса и конструктивные решения, пневмоавтоматика, ПЛК, программируемые логические контроллеры, интеллектуальные датчики, сервосистемы, системы поддержки принятия решений и т.д.

Вниманию читателей предлагаются подборки по автоматизации следующих отраслей промышленности и народного хозяйства: металлургия, нефтегазовая отрасль, химическая промышленность, транспорт, сельское хозяйство, комбикормовая и перерабатывающая промышленность, автомобилестроение, энергетика, электроэнергетика, жилищно-коммунальное хозяйство, интеллектуальное здание, умный дом, непрерывное производство (рецептурное), дискретное производство, пищевая промышленность и др.