КиберОценка

CC7.1: Мониторинг уязвимостей

Обнаружение изменений конфигурации, которые могут создать новые уязвимости

Подробное описание

CC7.1 требует организации непрерывного мониторинга изменений в конфигурации систем, которые могут привести к появлению новых уязвимостей. Контроль охватывает автоматизированное сканирование уязвимостей, обнаружение дрейфа конфигураций (configuration drift), мониторинг изменений в сетевой топологии и отслеживание новых CVE, затрагивающих используемое ПО. Эффективная реализация требует интеграции инструментов SIEM, систем управления конфигурацией (IaC) и платформ vulnerability management в единый процесс реагирования.

Практические шаги внедрения

  1. 1

    Развернуть автоматизированное сканирование уязвимостей с недельной периодичностью для всех production-систем и ежедневной для критичных активов

  2. 2

    Внедрить систему обнаружения дрейфа конфигураций (Terraform drift detection, AWS Config Rules, Chef InSpec) с алертами на отклонения от baseline

  3. 3

    Настроить SIEM-корреляцию событий изменения конфигурации с базой NVD/CVE для автоматического выявления новых векторов атак

  4. 4

    Установить процесс приоритизации уязвимостей по CVSS 3.x, эксплуатируемости (EPSS) и критичности актива

  5. 5

    Внедрить SLA на устранение: critical — 7 дней, high — 30 дней, medium — 90 дней

  6. 6

    Интегрировать результаты сканирования в систему управления инцидентами с автоматическим созданием тикетов для новых находок

  7. 7

    Проводить ежеквартальный аудит покрытия сканированием всех активов и эффективности процесса remediation

Типичные нарушения

  • Отсутствие централизованной системы управления уязвимостями — результаты сканеров хранятся разрозненно, нет единого view и метрик SLA

  • Сканирование выполняется реактивно (ad-hoc), а не на регулярной основе, критичные активы проверяются с той же периодичностью, что и некритичные

  • Нет процесса отслеживания устранения: уязвимости выявлены, но remediation не трекается, отсутствуют метрики времени закрытия

  • Системы обнаружения изменений конфигурации не интегрированы с vulnerability management — configuration drift не коррелирует с базами CVE

  • Отсутствие документированных критериев приоритизации уязвимостей и формального процесса risk-based remediation

Почему это важно

Аудиторы SOC 2 требуют доказательств проактивного управления уязвимостями — недостаточно просто сканировать, необходимо демонстрировать процесс приоритизации, устранения и повторной проверки. Отсутствие непрерывного мониторинга изменений конфигурации превращает compliance в snapshot на момент аудита, игнорируя динамическую природу облачной инфраструктуры.

Проверяемые категории

VulnerabilityTechnology StackCertificate TransparencySupply Chain

Связанные контроли

Связанные контроли в других фреймворках

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности