Далеко не каждая VM платформа дает понять, что происходит с процессом управления уязвимостями в целом. Чаще всего на выходе получается список уязвимостей, критичность, активы и сроки устранения, но нет возможности видеть общую картину. Аналитику трудно понять текущую ситуацию в динамике. Руководству еще сложнее, так как нужны не просто цифры, но и понятные выводы для принятия решений.

Я убедился в этом сравнив большую часть решений VM на рынке СНГ, так мне пришла идея реализовать в нашей компании фичу, которая строит графики по ключевым VM метрикам, а затем анализирует их с помощью AI(искусственного интеллекта). В этой статье расскажу, как это работает и почему такой подход полезен для аналитиков и руководства.

Судя по сегодняшним VM решениям, трансформировать данные в понятную аналитику это не такая простая задача, тем более когда необходимо реализовать доступный инструмент для топ-менеджмента.

Я разделил задачу на три этапа.

  • Первый этап это получение и нормализация данных из сканера.

  • Второй этап это визуализация данных в виде графиков.

  • Третий этап это интерпретация графиков с помощью искусственного интеллекта.

Интеграция функционала
Интеграция функционала

Какие графики я построил

На текущем этапе я реализовал стартовый набор графиков по ключевым метрикам управления уязвимостями, который уже дает практическую ценность для аналитики и принятия решений, а в дальнейшем планирую расширять его новыми метриками и сценариями анализа.

  • Кумулятивный тренд уязвимостей и бэклог отражает долгосрочную динамику накопления и устранения уязвимостей и помогает понять, растет или снижается общий объем незакрытых проблем.

  • Помесячный расчет уязвимостей, бэклог и количество хостов позволяет сопоставить изменения уязвимостей с объемом инфраструктуры и оценить реальную нагрузку на процесс управления уязвимостями.

  • Среднее время устранения уязвимостей (MTTR) показывает эффективность процесса устранения уязвимостей через среднее значение от времени устранения.

  • Среднее время экспозиции активных уязвимостей отражает, сколько времени активные уязвимости остаются в инфраструктуре до текущего момента.

  • Средний возраст уязвимостей на момент обнаружения помогает выявить признаки использования устаревших версий ПО и неактуальных базовых образов систем.

Например, одним из важных показателей стал помесячный MTTR, рассчитанный как среднее арифметическое времени устранения уязвимостей. Эта метрика помогает понять, насколько эффективно компания устраняет уязвимости после их обнаружения.

На графике отдельные линии отражают MTTR по уровням критичности (Low, Medium, High, Critical). Белая линия показывает общий MTTR по всем уровням для каждого месяца.
На графике отдельные линии отражают MTTR по уровням критичности (Low, Medium, High, Critical). Белая линия показывает общий MTTR по всем уровням для каждого месяца.

Почему я выбрал Matplotlib

Для реализации я использовал Python, а для построения графиков я использовал библиотеку Matplotlib. Matplotlib позволяет гибко управлять визуализацией и строить понятные графики для аналитических задач. Для меня было важно не просто получить картинку, а сделать так, чтобы график точно отражал нужную метрику и был пригоден для дальнейшего анализа.

Пример кода мatplotlib
Пример кода мatplotlib

Таким образом Python дал возможность быстро реализовать логику обработки данных, а Matplotlib помог превратить числа в понятную визуализацию.

Какую роль здесь играет искусственный интеллект

Сам по себе график уже полезен, но его можно интерпретировать по-разному, особенно если речь идет о сложной динамике или сразу нескольких взаимосвязанных показателях.
Если на график наложить другие метрики, то получится скоррелировать разные данные и тогда можно выявить неявные сигналы и влияние на процесс. Но чем больше метрик задействовать в графике, тем больше возрастет нагрузка на аналитика и сложнее будет интерпретировать сигналы.

Поэтому следующим шагом я добавил анализ с помощью искусственного интеллекта. Сервис AI получает график и текстовой контекст, после чего формирует выводы и рекомендации.

Здесь AI не заменяет аналитика и не принимает решения вместо человека. Его задача в другом. Он помогает быстрее увидеть закономерности, обратить внимание на нужные сигналы и предложить идеи, которые затем возможно будет применить на практике.

Дополнительный плюс это упрощение анализа для людей, кто не имел опыта в аналитике данных, а таких наверное большинство.

Какой результат я получил

В результате у меня получился инструмент, который объединяет данные, визуализацию и аналитическую интерпретацию в едином процессе. Это дало не только наглядное представление о состоянии уязвимостей, но и практическую основу для более качественной аналитики и управленческих решений.

Интерфейс с AI реализацией
Интерфейс с AI реализацией

Здесь искусственный интеллект добавил ценность не как модная фишка, а как реальный помощник в аналитике. Моя реализация вместе с AI помогает быстрее строить гипотезы, искать идеи для улучшений и видеть то, что не всегда бросается в глаза при обычном просмотре отчета.

Что получилось в итоге и что еще важно

Управление уязвимостями давно вышло за рамки простого списка CVE и сроков исправления. Современные компании нуждаются в более глубокой аналитике, которая помогает видеть динамику, оценивать зрелость процесса и принимать стратегические решения.

Этот кейс хорошо показал, что если правильно соединить данные, визуализацию и интеллектуальный анализ, то без огромных вложений возможно создать полезную и современную функцию аналитики уязвимостей, аналогов которой нет на рынке.

На мой взгляд, за такими решениями будущее. Чем больше в VM платформах будет качественной аналитики, тем выше будет их реальная ценность для бизнеса и кибербезопасности.