Четверть работников IT-компаний увеличили сроки проверки ПО для выявления уязвимостей

МОСКВА, 7 октября. /ТАСС/. Более 25% специалистов компаний в области IT с февраля 2022 года изменили свой подход к обновлению программного обеспечения, увеличив сроки проверок обновлений для обеспечения защищенности своей инфраструктуры. При этом отечественные vulnerability management - системы (VM), выявляющие и устраняющие уязвимости в IT-инфраструктуре, использует половина (50%) респондентов, а еще 18% планируют перейти на них в будущем, говорится в опросе ИБ-компании Positive Technologies.

"74% специалистов изменили свой подход к патч-менеджменту [процессу управления обновлениями ПО] с февраля 2022 года. К поставляемым обновлениям систем специалисты теперь относятся с повышенным вниманием: четверть опрошенных (26%) решили приостановить установку обновлений совсем, а еще четверть (26%) - увеличили сроки тестирования ПО, - говорится в тексте исследования. - Только 11% участников исследования не внесли изменения в свой регламент".

Там также отмечается, что российские VM-системы использует половина опрошенных специалистов, а 18% планируют переход на них с аналогичных зарубежных решений. В соответствии с изменениями на рынке требования к таким системам выросли, говорится в релизе. "Больше всего от продуктов сейчас ждут интеграций с другими ИБ-решениями (61%), учета компенсирующих мер (52%), а также возможности сканирования отечественных ПО и ОС (51%)", - пояснили аналитики.

Вместе с тем с 2020 года выросло количество специалистов, использующий в работе поставляемые решения с открытым исходным кодом [Open Source, такие решения можно дорабатывать без нарушения авторских прав]. Такими решения пользуются 43% респондентов, при том, что в 2020 году этот показатель составлял 26%.

Более того, доля компаний, не использующих специальное созданное для работы с уязвимостями ПО, значительно сократилась в сравнении с исследованием, проведенным два года назад. Ранее их доля составляла 26%, сейчас же - лишь 11. "Возможно, поводом ответственно подойти к вопросам ИБ стал рост кибератак на российские компании: в I полугодии 2022 года количество атак увеличилось на 16% по сравнению с I полугодием 2021 года", - рассуждают авторы исследования.

Подход, при котором программное обеспечение инфраструктуры не обновляется, может грозить накоплением новых уязвимостей, также повышается риск взлома системы злоумышленниками, поясняет старший менеджер по развитию и продвижению MaxPatrol VM в Positive Technologies Анастасия Зуева. Выбор между обновлением и не обновлением ПО сложен - по ее словам, с обновлением компании рискуют получить вместе с исправлением недокументированные возможности. В случае, если предприятие не обновляет ПО, копятся разные уязвимости. "Мы считаем оптимальным решение, при котором компания может выделить ресурсы на тестирование поставляемых патчей", - отметила она.

Об исследовании

Совокупная аудитория опроса составила более 200 тыс. человек, он проводился на сайте Positive Technologies, на интернет-порталах, посвященных ИБ, в соцсетях, тематических чатах и телеграм-каналах. В опросе приняли участие представители IT-компаний, государственного сектора, кредитно-финансовых организаций, промышленных компаний и компаний ТЭК.