Мир, в котором уже кто-то знает, где вы уязвимы
Вы можете не знать, что в одной из библиотек, которую использует ваша система, уже обнаружена критическая уязвимость. Но знает об этом может кто угодно — от специалиста по информационной безопасности до профессионального злоумышленника.
Добро пожаловать в цифровую реальность, где уязвимости — не исключение, а норма. И их количество растёт: по данным NVD, в 2023 году зарегистрировано свыше 29 000 новых CVE. Это почти 80 уязвимостей в день. Где-то — недоступный баг в драйвере. А где-то — брешь в облачном сервисе, через которую можно выкачать персональные данные тысяч клиентов.
Именно поэтому сегодня безопасность — это не просто антивирус и фаервол. Это цельный подход, в основе которого лежат:
- систематизация уязвимостей (CVE);
- понимание поведения атакующих (MITRE ATT&CK);
- и готовность к реагированию на любой стадии (через TI-платформу).
Уязвимости — не "если", а "где"
С каждым годом атаки становятся сложнее — и всё чаще начинаются не с "взлома пароля", а с эксплойта давно известной уязвимости, о которой никто в компании не знал.
Что такое уязвимость сегодня?
- публичный бакет в облаке;
- токен в коде на GitHub;
- уязвимость в библиотеке Python;
- возможность подменить модель ИИ в пайплайне.
Киберпреступники не "ломают" — они используют. Их задача — найти слабое звено. И это слабое звено часто уже имеет имя.
CVE — как уязвимости получают имя
Чтобы не утонуть в хаосе, индустрия создала CVE (Common Vulnerabilities and Exposures) — международную систему каталогизации уязвимостей, которую ведёт организация MITRE.
Каждая уязвимость получает:
- Идентификатор (например, CVE-2024-12345),
- Описание, ссылки, оценку критичности (CVSS),
- Дату обнаружения, вендора, и иногда — эксплойты.
Зачем это нужно бизнесу?
- CVE позволяет автоматизировать поиск уязвимостей;
- системы безопасности (например, SIEM) могут автоматически реагировать;
- команды ИБ не "ищут иголку в стоге", а знают, куда смотреть.
CVE — это словарь цифровой угрозы, и без него невозможно ни построить мониторинг, ни объяснить проблему руководству.
ATT&CK — когда важен не только факт, но и поведение
Представим уязвимость найдена. А теперь — что с ней сделает противник?
Ответ даёт MITRE ATT&CK — фреймворк, описывающий весь жизненный цикл атаки:
- тактики (цели: доступ, закрепление, кража данных);
- техники (методы: фишинг, подмена модели, DNS-туннелирование);
- реальные группы атакующих (APT), которые эти техники применяют.
Пример:
- Уязвимость в REST API →
- Подмена модели ИИ →
- Изменение поведения модели (например, пропуск транзакций) →
- Незаметный вывод данных через встроенные интерфейсы.
Без ATT&CK всё это может показаться несвязанными инцидентами. С ним — становится понятной цепочкой действий, которую можно отследить и прервать.
TI-платформа — где всё это должно соединиться
Теперь главный вопрос: а где должна “жить” защита? Где должны сойтись:
- Информация об уязвимостях (CVE),
- Поведение атакующих (ATT&CK),
- И инфраструктура вашей компании?
Ответ: в TI-платформе — платформе управления технологиями и угрозами.
Что это такое:
TI-платформа (Technology + Intelligence) — это не один продукт, а комплексная архитектура, которая включает:
- Инструменты анализа и корреляции событий (SIEM, XDR);
- Базы знаний (CVE, ATT&CK, D3FEND);
- Поддержку процессов DevSecOps;
- Механизмы реагирования и расследования (SOAR, UEBA);
- Облако, CI/CD, модели, данные — всё в единой логике контроля.
TI-платформа — это то, что превращает информацию о риске в действие. И именно на этой платформе можно построить защиту, которая не просто “мониторит”, а реально управляет рисками.
Когда "рекомендация" становится "обязательством". Законодательство Беларуси
Всё выше — не просто "хорошо бы". В Беларуси действуют официальные нормативные требования, согласно которым наличие инструментов управления инцидентами, выявления уязвимостей и анализа поведения атакующих — обязательно.
Примеры обязательств:
- Постановления Оперативно-аналитического центра при Президенте РБ;
- ТКП (Технические кодексы) по защите информации;
- Требования к субъектам критической инфраструктуры;
- Закон "О защите персональных данных".
Что это означает на практике?
Если ваша организация:
- обрабатывает персональные данные,
- относится к государственным учреждениям,
- оказывает финансовые или онлайн-услуги,
- либо входит в перечень критически важных объектов,
то на вас, согласно белорусскому законодательству, возлагается ряд обязанностей в сфере информационной безопасности. В их числе:
- своевременное выявление и регистрация инцидентов ИБ,
- мониторинг и управление уязвимостями,
- организация процессов реагирования на возможные киберугрозы.
Эти задачи проще и эффективнее реализовать, когда в организации развёрнута современная TI-платформа, объединяющая ключевые инструменты безопасности и позволяющая действовать проактивно.
Мир цифровой безопасности не стоит на месте. Но одно остаётся неизменным - вашу систему кто-то сейчас изучает. И если вы не знаете, где у вас дыра — возможно, кто-то другой уже знает.
TI-платформа — это не модное слово, а основа осознанной безопасности.
Она объединяет:
- знание (CVE),
- понимание (ATT&CK),
- и действие (реагирование, расследование, предотвращение).
И если раньше это было вопросом зрелости, то теперь — вопросом законности.