Стартует серия статей про управление уязвимостями с нуля: для тех, кто только въезжает в тему, и для админов, которых внезапно попросили «позакрывать там уязвимости». Рассказываю, что внутри, почему это вторая редакция и при чём тут «Сети для самых маленьких».
📚 Это вступление к серии «Управление уязвимостями для самых маленьких», практическому руководству по VM с нуля. Дальше будут 21 глава и заключение, по одной в неделю. Оглавление и все части серии тут.
В примерах вам будут попадаться продукты Positive Technologies, чаще всего MaxPatrol VM. Просто потому, что я с ними работаю плотнее всего, и показывать практику на том, что знаешь изнутри, честнее, чем на том, чего в руках не держал. Это не реклама: принципы VM от вендора не зависят.
Если вы открыли этот текст на Хабре, то про управление уязвимостями уже наверняка что-то слышали. Может, у вас в компании стоит сканер, который кто-то когда-то настроил и забыл. Может, прилетел приказ ФСТЭК, и сверху сказали «навести порядок». А может, вы просто устали кивать на совещаниях, где сыплют CVSS, EPSS и каким-то CTEM, и хотите наконец понять, что из этого работает, а что просто красивые слайды с конференции.
Тогда вам сюда.
Серия постов это должна была быть Книга для «самых маленьких». Не в смысле «для глупых», а в смысле «с нуля». Я писал так, чтобы понял школьник, который про ИБ знает в основном из новостей про очередную утечку. И чтобы при этом не стыдно было дать книгу опытному админу, которого ИБ-отдел внезапно припряг «по-быстрому позакрывать там уязвимости».
Кстати, про название. Оно не случайно рифмуется с «Сетями для самых маленьких», той самой легендарной серией на Хабре, по которой выросло не одно поколение сетевиков (и в свое время я был одним из них). СДСМ в своё время показала: про сложные вещи можно писать просто, по-человечески и без занудства, и что именно такой формат люди читают запоем. Я честно вдохновлялся этим подходом. И очень хочу, чтобы управление уязвимостями получило свой такой же путеводитель с нуля. Получилось или нет, судить вам в комментариях.
Почему вторая редакция
Первую версию я писал пару лет назад. И вот что выяснилось: в управлении уязвимостями пара лет тянет на целую эпоху.
Пока книга жила своей жизнью, мир успел сильно поменяться. Эксплуатация уязвимостей вышла на первое место среди способов взлома компаний. Обошла и фишинг, и кражу паролей. Поток новых уязвимостей почти удвоился: под 50 тысяч CVE в год, по 130 с лишним в день. Главная мировая база NVD, на которую все опирались десятилетиями, едва не развалилась. ФСТЭК выпустила приказ № 117 и впервые прописала жёсткие сроки: критическую уязвимость изволь закрыть за сутки. Штрафы за утечки данных стали оборотными. А искусственный интеллект научился находить уязвимости быстрее людей. И теперь это оружие в руках обеих сторон.
Перечитывать старый текст с «18 тысячами CVE в 2020 году» и ссылками на давно отменённый 17-й приказ стало откровенно неловко. Поэтому я не стал подкручивать пару абзацев для вида. Перепроверил каждый факт по первоисточникам, переписал главы живым языком и дописал то, чего раньше не было совсем.
Что внутри
Книга устроена как дорога. Стартую с самого начала, с вопроса «да кому я нужен, меня не взломают» (спойлер: нужны вы боту, который тупо дёргает все двери подряд). Дальше по порядку: что такое уязвимости, как устроен процесс, как сканировать, как приоритизировать и как договариваться с ИТ. Последнее, к слову, отдельная боль, которой в книге уделено больше места, чем кажется на первый взгляд. Разбираем и российскую специфику: законы, приказы, БДУ, импортозамещение.
Каждую главу можно читать отдельно. В конце короткое «что мы узнали» и пара вопросов на подумать.
Честно про формат и про примеры
Главы выходят на Хабре по очереди, и это сознательный выбор. Хабр беспощаден к воде, маркетингу и тексту, который писала «нейросетка для галочки». Лучшего фильтра качества в рунете не придумали. Напишу где-нибудь ерунду, мне про это сообщат в комментариях, да ещё и с пруфами. Вот и хорошо. Спорьте, поправляйте, делитесь своим опытом. Серия от этого только выиграет, формат как раз позволяет учитывать вашу обратную связь по ходу.
И сразу предупрежу, чтобы потом не было неловких вопросов. В примерах вам точно будут попадаться продукты Positive Technologies, чаще всего MaxPatrol VM. Причина простая: я с ними работаю плотнее всего, а показывать практику на том, что знаешь изнутри, честнее, чем на том, чего в руках не держал достаточно долго. Но это не реклама. Я честно пишу и про open source, и про конкурентов, и про западные платформы (которые ушли), и про мировые стандарты. Принципы управления уязвимостями от вендора не зависят, и книга именно про них. Инструмент дело наживное. Голова важнее.
И ещё. Я очень старался, чтобы текст не звучал как методичка или корпоративный отчёт. С аналогиями: дом, домушник, айсберг. С примерами из практики: уязвимость на периметре возрастом 11 лет, реальный случай, не выдумка. Местами с иронией. Тема серьёзная, но это же не повод писать так, чтобы читатель засыпал на втором абзаце.
P.S. Использовал ли я AI? Конечно) Но теперь здесь будет не только текст, но и красивые картинки, надеюсь на понимание.
С чего начать
Если вы с нуля, читайте по порядку, главы идут от простого к сложному. Если уже в теме и пришли за конкретикой, листайте сразу к нужному: приоритизация, EASM, метрики. Если вы руководитель и думаете, во что вкладывать, вам хватит первых глав и главы про зрелость.
Управление уязвимостями не разовый проект и не волшебная кнопка «сделать безопасно». Это дорога, по которой идёшь постоянно, потому что и угрозы, и технологии на месте не стоят. Но дорога вполне проходимая. Даже для самых маленьких. Давайте пройдём её вместе.
Поехали.
Навигация по серии: ⬅️ (это самое начало) · 📑 Оглавление серии · Следующая: Гл. 0. «Да кому я нужен, меня не взломают» ➡️
Серия будет выходить примерно по главе в неделю. Подписывайтесь, чтобы не пропустить. А пока расскажите в комментариях: вы пришли в тему с нуля или уже строите VM и хотите свежий взгляд? Мне это поможет понять, на чём делать акценты.
Хабы: Информационная безопасность, IT-инфраструктура · Сложность: Простой