Критическая уязвимость не всегда должна устраняться в первую очередь
Команды по обеспечению безопасности предприятий, перегруженные ежедневно растущим числом уязвимостей, могут значительно сократить объем работы по исправлению недостатков, изменив порядок их приоритетности, говорится в недавнем исследовании компании Rezilion, занимающейся поиском уязвимостей.
Большинство предприятий ориентируются на рейтинги, присваиваемые уязвимостям в системе Common Vulnerability Scoring System (CVSS), которые варьируются от 0 до 10 (10 является наивысшим показателем) и ранжируются в зависимости от характеристик уязвимости на низкие и средние, высокие и критические.
По словам Йотама Перкала, директора по исследованию уязвимостей компании Rezilion, предприятия начинают свою работу по устранению уязвимостей с категории "критических" и далее по убывающей.
Проблема заключается в том, что для многих организаций большинство уязвимостей не представляют угрозы. Около 85% уязвимостей не загружаются в память организаций, отметил Перкал в интервью изданию The Register.
В ходе исследования эксперты Rezilion изучили 20 популярных образов контейнеров на Docker Hub, которые, по их словам, в совокупности были загружены и развернуты миллиарды раз. Образы включали MariaDB, WordPress, Memcached, MongoDB, Nginx и MySQL.
Кроме того, компания изучила образы базовых операционных систем от облачных провайдеров Amazon Web Services (AWS), Microsoft Azure и Google Cloud Platform, с целью выяснить, сколько уязвимостей неприменимо, а какие представляют реальную опасность.
По данным Rezilion, среди 21 проанализированного образа контейнера было более 4 347 известных уязвимостей, хотя тестирование показало, что в среднем около 15% общих уязвимостей и уязвимостей (CVE) когда-либо загружались в память и представляли угрозу.
Эксперты также обнаружили 6 167 известных уязвимостей в 12 проанализированных образах базовой ОС, из которых 20% были загружены в память.
"Из анализа видно, что 85% всех обнаруженных уязвимостей в контейнерах и хостах никогда не загружались в память и, следовательно, не могли быть использованы", - пишут авторы отчета. "Если использовать традиционные подходы к управлению уязвимостями, можно потратить до 85% времени и усилий на исправление уязвимостей, которые не представляют реальной опасности для среды".
Как это выглядит, Перкал знает не понаслышке. Он провел более трех лет в компании PayPal в составе команды по управлению уязвимостями. В основном все процессы выполнялись вручную, и у команды не хватало времени на исправление всех уязвимостей. Кроме того, добавил Перкал, исправления не всегда являются единым или быстрым процессом. Тип уязвимости часто диктует, сколько времени займет устранение - некоторые могут занять месяцы, а в некоторых случаях требуется простой системы.
"Организации имеют ограниченные ресурсы и возможности для управления уязвимостями и исправлениями. Количество уязвимостей, которые обнаруживаются и раскрываются, постоянно растет из года в год. Количество кода, который они читают, постоянно увеличивается, и это находится в прямой зависимости от количества уязвимостей. Пока люди пишут код, будут существовать уязвимости, а организации просто не в состоянии за ними угнаться".
Это превращается в вопрос математики, считает профессор.
"Если у вас 1000 уязвимостей, сосредоточьтесь на 200, которые действительно загружаются в память. Начните с них, затем, если у вас есть дополнительное время и дополнительные ресурсы, займитесь остальными, но, по крайней мере, начните концентрироваться на тех, которые действительно представляют угрозу и имеют значение".
Исследование компании Rezilion вызвало критические замечания со стороны других представителей отрасли. Так, Майк Паркин, старший технический инженер компании Vulcan Cyber, считает, что исследование стартапа интересно, но оно может неточно отражать риски, с которыми сталкиваются предприятия.
"Хоть это и правда, что многие уязвимости не будут обнаружены ни в одной конкретной среде. Однако заявление о возможности игнорировать 85% из них вводит в заблуждение", - сказал Паркин. " Такое утверждение не учитывает тот факт, что зрелые организации имеют процесс управления рисками, который помогает им сосредоточиться на уязвимостях, имеющих значение в их контексте.Они могут обоснованно придавать более низкий приоритет тем уязвимостям, которые лишь изредка являются резидентными и, следовательно, пригодными для эксплуатации".
Однако лучшей практикой является удаление не используемых программ и исправление тех, которые применяются, добавил он.
Кроме того, большинство организаций не могут достоверно описать весь свой серверный парк, сказал в интервью The Register Джон Бамбенек, главный исследователь угроз в компании Netenrich. Большинство из этих компаний не могут сказать, какие части каких программных приложений загружены в память. «Все еще существуют машины, уязвимые для Log4j , — добавил Бамбенек. «Сообщение «не беспокойтесь об исправлении» гарантирует, что специалисты по реагированию на инциденты, такие как я, не получат новых возможностей от технологии».