Какая стратегия управления уязвимостями лучше?

Какая стратегия управления уязвимостями лучше?
Прошедшая ночь была богата на события, которые преимущественно исходили из-за океана. Тут и пресс-конференция Байдена по случае первого года его президентства, после которой его пресс-секретарь Джен Псаки сделала ряд заявлений по поводу ситуации вокруг Украины, в которых прозвучало то, о чем я писал пару дней назад в Telegram, а именно предупреждение о том, что под «агрессией» и «вторжением» России в Украину понимается в том числе и кибератаки, которые на прошлой неделе затронули немалое количество украинских госорганов. Тут и подписанный Байденом меморандум об усилении кибербезопасности информационных систем национальной безопасности, МинОбороны и разведки. Тут и проскользнувшая информация о взломе и утечке данных одного из российских предприятий ВПК. Из забавного — в американских соцсетях разгорается скандал про использование в рекламе одного из подрядчиков американского ВМФ фотографий российского крейсера «Киров» ???? Но поговорить я хотел бы о другом, а именно об уязвимостях.

Также ночью компания Kenna выпустила вместе с институтом Cyentia отчет «Measuring and Minimizing Exploitability» из серии «Prioritization to Prediction», в котором рассказывается о том, как измерять уровень защищенности организации, опираясь на сведения о уязвимостях, как приоритизировать информацию о тысячах уязвимостях, обнаруживаемых в корпоративных и ведомственных сетях, а также о том, как снизить риск их использования злоумышленниками.

Одна из основных мыслей все серии отчетов заключается в том, что использование CVSS является не самым лучшим способом приоритизации уязвимостей, не сильно отличающимся от случайного устранения выявленных уязвимостей. Ну как случайного, — уровень уязвимости снижается в 2-6 раз. А вот если опираться в стратегии приоритизации уязвимостей на данные о наличии эксплойта, то уровень уязвимости снижается в 22-29 раз.

Различные стратегии приоритизации уязвимостей и их эффективность

Не буду подробно пересказывать весь отчет, но ключевые факты и цифры оттуда назову:

  • В 2021-м году в национальную базу уязвимостей было добавлено 20136 уязвимостей (в БДУ ФСТЭК на момент написания заметки внесено 37038 уязвимостей), то есть около 55 ежедневно.
  • Среднестатистическая компания успевает пропатчить только 15% уязвимостей ежемесячно.
  • Около 95% всех корпоративных активов имеют не менее одной активно эксплуатируемой уязвимости.
  • Упоминание об уязвимости в Twitter часто является лучшей стратегией приоритизации, чем использование CVSS (лучше в 2 раза).
  • Фокусировка на приоритетных уязвимостях более важна, чем как можно скорейшее устранение уязвимостей без учета их реальной эксплуатации.
  • Если выбирать, то лучше сфокусироваться на стратегии приоритизации уязвимостей, а не на стратегии их устранения. Но комбинированная стратегия приоритизации с выстраиванием возможностей по устранению позволяет снизить уровень уязвимости компании в 29 раз.
  • Вместо CVSS лучше ориентироваться на систему приоритизации EPSS (Exploit Prediction Scoring System), которая поддерживается FIRST.
А какая стратегия управления уязвимостями используется у вас?
На базе CVSS
36.59%
По наличию эксплойта (на базе EPSS)
10.98%
Устраняем все и как можно быстрее
15.85%
Хаотичное устранение
28.05%
Никак не устраняем
8.54%
Проголосовало: 82

В целом, это интересный отчет, который показывает, что при постоянном росте числа уязвимостей устранить их все не представляется возможным и надо фокусироваться на самых важных из них. Кстати, если посмотреть на БДУ ФСТЭК, то из 37 тысяч уязвимостей только для 735 существует экслойт, что как бы намекает.

Невложенные вложенные множества

Правда, в БДУ есть маленький косяк. Когда вы делаете выборку по полю «Наличие эксплойта», то у вас есть варианты «Существует» и «Существует в открытом доступе». Лично я, логически рассуждая, считал, что второе является подмножеством первого. Но судя по результатам выборки это не так — эксплойтов, существующих в открытом доступе, 2622, а «просто существующих» эксплойтов — 735.

Понимаю, что далеко не все компании могут выстроить и выстраивают стратегию управления уязвимостями. Для таких есть стратегия-минимум — устранение уязвимостей, о которых известно, что они активно эксплуатируются в диком виде. Список таких уязвимостей можно взять у «американской» или российской ФСТЭК. Вообще американский список выглядит чуть более солидным. С другой стороны там и перечень софта гораздо более широкий, который применяется в госорганах США.

Заметка Какая стратегия управления уязвимостями лучше? была впервые опубликована на Бизнес без опасности .

Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!