Поделиться
Исследование R-Vision: пользователи VM-систем назвали ключевые признаки качественного сканирования
Компании все меньше доверяют «на слово» результатам сканирования и все чаще проверяют их качество. Таковы данные исследования R-Vision, проведенного среди инженеров ИБ, CISO, руководителей SOC и технических специалистов, ответственных за эксплуатацию VM-решений. Об этом CNews сообщили представители R-Vision.
Пользователи VM-систем называют главной проблемой пропущенные уязвимости (False Negative) и недостаток аналитики. А ключевыми признаками качества, по их мнению, являются актуальная база уязвимостей, широкий охват и прозрачность логики проверок с практическими рекомендациями по устранению.
Что пользователи считают качественным сканированием
Почти все респонденты поставили на первое место высокую скорость обнаружения уязвимостей и актуальность базы уязвимостей. Эти параметры получили оценки выше 9 баллов из 10. Высокую оценку (8,7) также получил параметр «широта покрытия технологий», то есть способность сканера находить уязвимости во всех используемых типах систем – от распространенных операционных систем и прикладного ПО до специализированных корпоративных и отраслевых решений.
Относительно более низкие оценки факторов, связанных с ложными и пропущенными срабатываниями, указывают на то, что пользователи готовы мириться с некоторым уровнем FP/FN (False Positive и False Negative), если система остается актуальной и обеспечивает видимость уязвимостей по всей ИТ-инфраструктуре.
Говоря о допустимости ложных срабатываний (FP), почти треть респондентов (30%) не рассматривает их как проблему. Почти половина (46%) считает приемлемым уровень FP до 5%, а еще 19% — до 10%. Лишь 5% опрошенных заявили, что любые ложные срабатывания для них неприемлемы.
Что главное в результате сканирования
Респонденты подчеркнули, что им важно не просто получить максимально полный список найденных уязвимостей (даже с ложными срабатываниями), а понять, что с ними делать дальше. Наивысший балл (9,2) получили параметры, связанные с контекстом и рекомендациями по устранению.
Пользователи также ожидают от VM-систем точной приоритизации уязвимостей по уровню критичности и детализированных карточек с описанием, источниками, ссылками на эксплойты и другими важными атрибутами.
База уязвимостей: гибкость, широта покрытия и прозрачность
Ключевым признаком качественной базы уязвимостей респонденты назвали гибкость (9,0 баллов) — способность вендора оперативно добавлять или исправлять проверки. Также высоко оценены широта покрытия (8,9) и прозрачность логики проверок (8,8). Чуть менее приоритетными, но всё же значимыми, оказались частота обновлений базы (8,4) и количество источников обогащения (8,2).
При этом почти 80% участников считают важным понимать, из каких источников формируется база уязвимостей, тогда как лишь 22% готовы полностью доверять вендору без раскрытия этих данных.
Главные проблемы сканеров — пропуски уязвимостей и слабая аналитика
Несмотря на то, что минимизация ложных и пропущенных срабатываний не входит в топ-показателей «качества сканирования» по мнению пользователей, пропуски уязвимостей остаются их главной реальной проблемой — частота упоминаемости критерия составила 45 раз. Именно потому, что они напрямую влияют на безопасность и доверие к системе. На втором и третьем местах — недостаток аналитики и отчётности (34) и ложные срабатывания (35).
Среди других частых проблем пользователи упомянули отсутствие поддержки нужных ОС и ПО (29), задержки обновления базы (27) и проблемы с производительностью (25). Это указывает на то, что пользователи ждут от VM-систем стабильной работы, регулярных обновлений и максимально широкого покрытия технологий.
Ирина Карпушева, менеджер по продуктовому маркетингу R-Vision: «Мы видим, что рынок управления уязвимостями «взрослеет». Сегодня эффективность VM-системы уже не измеряют просто количеством найденных уязвимостей. Гораздо важнее – как быстро она выявляет новые уязвимости, насколько прозрачна ее база и есть ли понимание, что делать дальше. Современный сканер должен не просто находить уязвимости, а помогать специалисту действовать системно: видеть общую картину, расставлять приоритеты и выстраивать последовательные шаги по устранению. Это уже не вспомогательный инструмент, а важная часть зрелого процесса управления уязвимостями, к которому постепенно приходит вся отрасль».
Короткая ссылка
