Где ваш VM: как компании ищут и устраняют уязвимости и почему не все довольны этим процессом

[APrioriAPosteriori]

Спасибо, за то, что результаты Ваших опросов легко доступны в пдф, а не требуют очередную регистрацию и ввод данных, чтобы продажник связался и тп (не то, что доблесные Solarwinds!).

А можно выссказать пожелания на будущие публикации по освещению вопроса, тк из представленных файлов на сайте тоже не удалось отыскать (вполне возможно при реальном прочтении материалов, выяснится, что информация есть): можно ли затронуть и осветить тему взаимодействия команд и отделов, отвечающих за кибербезопасность с пролетариатом и энтузиастами/баунти хантерами? Даже сложно сказать, что имею в виду большие компании с огромными командами, тк из свежих примеров - месяца полтора-два white hacker слал популярному в рунете приложению Clubhouse, с подробными описаними уязвимости, трубил во все двери, заваливал (в прессе можно найти подробности кейса), Клабхаус стабильно игнорировал (по ряду причин аргумент маленького стартапа с лимитированным customer service/техподдержке не выдерживает критики). Положительные примеры часто встречались в истории Spotify - они не только платили, но и в дальнейшем сотрудничали в фриланс-формате с white hackers/баунти хантерами.

Специалисты подтвердят или подкорректируют: зачастую в больших организациях вообще игнорируют такие коммуникации с целью затишить проблему, чтобы она не вышла в публичное русло(не в целях безопасности, а в целях того, чтобы уровень своей некомпетентности не транслировать на весь мир (ну или в коммерческих организациях-не пугать инвесторов, избежать коллапс цены акций компании итд и характер индустрии этой организации немаловажен).

В лучшем случае, фирма организовывала свою Bounty Hunter Rewards Program, но даже среди завсегдатаев гугловских-гитхабовских программ подобного рода, многие подтвердят, что деньги смехотворны и привлекают нередко школьников (ничего не имею против школьников) и самые лучшие находят четкие, а то и уникальные уязвимости, но в современных реалиях сфера ответственности и умение разбираться в законодательной базе (бывает с некоторыми CVE), и куче других дисциплин, требующих профессионального подхода. Было бы здорово, если бы Вы затронули эту проблему, предпочитетельнее был бы формат из каких-нибудь qualitative methods, где респонденты из разных компаний, крупных и маленьких, поделились своими соображениями на тему. (Просто как статистик, я бы исключила опросный подход к этой проблемы по ряду конкретных причин. )

Можно вот еще от хмурого статистика пожелание? В файле Otchet-po-kontrolyu-uyazvimostey_final.pdf, стр 10:

Экстренный патч-менеджмент чаще всего находится в ведении ИТ-администраторов в крупных компаниях. А в организациях среднего размера (от 250 до 5 тыс. человек) подобные решения чаще всего принимает ИТ-руководитель, но при этом сотрудники ИБ-подразделения должны аргументировать ему эту потребность. Первых лиц компании и бизнес-подразделения к принятию решения о необходимости установки патчей в период эпидемий привлекают только в крупных (более 5 тыс. человек) и мелких (менее 250 человек) организациях. В то же время есть организации, где ИТ-службы никак не реагируют на запрос об установке патчей – таких 12% среди всех опрошенных."

В параграфе сообщается, что авторы как минимум отметили, а судя по параграфу учли квантитативно необходимость сегментирования популяции по группам, заключающихся в количестве сотрудников в компании, эксклюзивно для Вас закопипастю в порядке (от > к <):

• крупных(более 5 тыс. человек)

• среднего размера (от 250 до 5 тыс. человек)

• мелких (менее 250 человек)

• категория-мистерия наименованная как "В то же время есть организации, где ИТ-службы никак не реагируют на запрос об установке патчей – таких 12% среди всех опрошенных" <---в этих 12% вышеперечисленные 3 как-то пересекаются? Зачем в одном парраграфе констатируется процент из я так подозреваю общего числа опрошенных, судя по пай-чарту на стр. 11 (мы к нему еще перейдем).

Формулировки при подаче выводов из полученных данных имеют ***ключеовое*** значение, т.к. могут как у нас на хуторе говорят misrepresent the data/your actual results, проманипулировав отвлеченностью или статнеграмотностью читатетля, что в зависимочти от намерений, без пяти минут манипулятивно. Конкретно: фраза "В то же время есть... ", связывающая 12% с предыдущими категориями из совсем другой оперы. Тот факт, что в 2ух из них, крупных и мелких, привлекают первых лиц компании к принятию решений по патчам, что малорелевантно по отношению к тем кто вообще никак не реагируют, ****из общей выборки*****.

Далее, необходимо разъяснить и аргументировать сегментацию таких организаций по кол-ву персонала. Как пришлм к решениям сделать это конкретное ранжирование 5тыс.+, 250-5тыс, <250 ? Почему решили разделить на 3 категории по этим конкретным пределам? Откуда вдохновение пришло, что это?Это приказ ФСТЭК № 239, или 235 регламентирует (случайный пример из вашео документа. Кроме того, почему по количеству персонала - фундаментальный , не решенный вопрос, тк еще на 4ой странице Вы указываете, что выборка состоит из опрошенных сотрудников

200 организаций разного масштаба и профиля

т.е. не в какой-то конкретной индустрии (резонно ожидать допустим опрос компаний исключительно, например, ИТ индустрии), но все-таки указанно, что профиль-то разный у компаний(что бы не значило многообещающее "разного профиля",это надо на 4ой же странице и конкретизировать). Отсюда вывод, в совокупности с предыдущей проблемой, почему разделение по группам было решено совершать исходя из критерия "количество сотрудников", а не, в том же предложении на 4ой странице, "профиля" организации? Какую в связи с этим смысловую нагрузку несет деление на 3 категории по кол-ву персонала, т.е. какую информацию до нас доносит весь этот параграф?

Индустрия компании может являться в среднем по моделируемой популяции гораздо более влиятельным фактором на результаты в Ваших пай-чартах. А может и нет, но тогда какая из представленной информации иллюстрирует надобность вообще упоминания этого деления, особенно справа от пай-чарта, к которому она вообще если Вы присмотритесь не имеет отношения.

Расписала бы про пай чарты и еще несколько ключевых моментов которые я бы специалиста попросила переделать, но у меня по причине праздничного настроения открылась минутка непрошеного альтруизма и редкий момент бесплатного статконсалтинга я уже не смогла остановить, простите! Не воспринимайте это как критику на личный счет, просто эти вещи легко исправить на данном этапе, тем более проэкт интересный! Правда мы еще не разобрались в этой выборке из 200, опрошенных на сайте (что с позитивной точки зрения, может предоставить неожиданно содержательную информацию, благодаря данным сайта, но я уже пошла праздновать, всего хорошего в начинаниях в интересной области!)

[Solar_MSS]

Спасибо за такой подробный и интересный комментарий!

Тема с Bug Bounty, действительно, интересна, но она выходила за рамки нашего опроса. Отразим ее в следующих публикациях.

Относительно методологии: мы размещали опрос на нескольких площадках и не ограничивали круг респондентов конкретной отраслью или размером компании, чтобы получить более широкие результаты. Такое деление по количеству хостов используется нами и в других отчетах, и мы пришли к выводу, что оно достаточно универсально для определения масштаба компании и ее ИТ-инфраструктуры.

Мы делаем акцент именно на масштаб, а не на отрасль, так как проблемы с VM, как правило, носят организационный характер – согласованность работы подразделений, наличие штатных специалистов и т.п. И здесь важен скорее масштаб организации, а не сфера деятельности.