Команды безопасности испытывают трудности с устранением уязвимостей

Команды безопасности предприятий испытывают трудности с отказом от простого выявления уязвимостей и переходом на эффективное реагирование и устранение. К такому выводу пришли специалисты ИБ-компании Vulcan Cyber по результатам нового исследования , посвященного корпоративным программам приоритизации и устранения угроз безопасности.

Как показало исследование, руководство предприятий и специалисты в области управления IT ограничены в своей способности получать важную информацию, необходимую для эффективной защиты ценных бизнес-активов, что делает программы управления уязвимостями в значительной степени неэффективными.

Оценка рисков вне контекста бизнеса бесполезна. Большинство участников опроса Vulcan Cyber склонны сортировать уязвимости по инфраструктуре (64%), бизнес-функциям (53%) и приложениям (53%). Это вызывает беспокойство, поскольку приоритизация рисков на основе сортировки по инфраструктуре и приложениями вне контекста активов не имеет смысла. Неспособность соотнести данные об уязвимостях с реальным риском для бизнеса оставляет организации незащищенными.

Подавляющее большинство лиц, ответственных за принятие решений, оценивают и приоритизируют уязвимости по двум или более моделям: общая система оценки уязвимостей CVSS (71%), топ-10 OWASP (59%), сканер уязвимостей сообщил о серьезной проблеме (47%), топ-25 CWE (38%) или модели, сделанные на заказ (22%). Для обеспечения значимого управления киберрисками идеально подходит и наиболее эффективна индивидуальная модель оценивания и приоритизации, учитывающая несколько отраслевых стандартов.

Чем больше у группы безопасности контроля над оценкой и приоритизацией рисков, тем эффективнее они могут их снижать. Однако общеотраслевой основы для управления уязвимостями на основе рисков по-прежнему не существует, а значит, кибергигиена по-прежнему не соответствует требованиям, а уязвимости продолжают создавать риски.

Большинство участников опроса (54%) считают утечку конфиденциальных данных самой серьезной угрозой, к которой могут привести уязвимости в приложениях. Далее следуют некорректная аутентификация (44%), некорректная конфигурация механизмов безопасности (39%), недостаточное журналирование и мониторинг (35%) и инъекции (32%).

Наибольшее беспокойство у участников опроса вызывает уязвимость CVE-2014-6324 в Microsoft Windows. Примечательно, что ее боятся даже больше, чем более опасные уязвимости в Windows SMB, CVE-2019-0708 (BlueKeep), CVE-2014-0160 (Heartbleed) и EternalBlue.

Исследование было проведено до раскрытия уязвимости Log4shell в утилите журналирования Log4J, поэтому она в отчете исследователей не фигурирует.