Оценка CVSS вводит специалистов в заблуждение и меняет приоритеты защиты

Системы управления уязвимостями, основанные на системе оценки CVSS (Common Vulnerability Scoring System), могут быть ошибочными. Согласно новому отчету Flashpoint , половина критических уязвимостей может быть оценена неправильно.

За последние 10 лет в среднем 51,5% всех известных уязвимостей с оценкой 10,0 не были определены CVSS. Это означает, что организации могут уделять приоритетное внимание ошибкам, которые на самом деле не соответствуют оценке 10.0. Это еще раз подчеркивает, что базовые оценки CVSS не должны быть основой систем управления уязвимостей.

Flashpoint проанализировала 11 860 уязвимостей за первые 6 месяцев 2022 года и обнаружила, что службы CVE/NVD не смогли сообщить и детализировать 27,3% из них. Поэтому некоторые оценки недостатков могут быть завышены в качестве меры предосторожности.

Группы кибербезопасности могут максимизировать ресурсы и сократить свою рабочую нагрузку на 82%, сосредоточившись на исправлении уязвимостей высокой степени опасности.

Почему неточные оценки CVSS являются большой проблемой?

Критическими уязвимостями являются те, которые требуют немедленных действий. Если модель CVSS вводит специалистов в заблуждение, то они сосредоточатся на неправильных задачах и пропустят настоящие инциденты безопасности.

Многие эксперты по безопасности уже много лет отмечают недостатки в системе CVSS, особенно когда она используется для оценки уязвимостей АСУ ТП .

Однако, опасность ошибки не всегда соответствует реальному риску для организации. Оценка CVSS может дать представление о том, какие проблемы могут возникнуть с конкретной уязвимостью. Оценка не дает понимания того, обнаружена ли эта ошибка в дикой природе. Она могла использоваться в атаках до того, как была обнаружена, поэтому имеет наивысший приоритет для исправления.

Это не означает, что оценка CVSS не имеет ценности. Важно оценить влияние уязвимости в контексте организации – к чему она может привести и легко ли её эксплуатировать. Оценка — это всего лишь индикатор, который не может заменить надлежащее управление рисками.

Сфокусируйтесь на критических уязвимостях.

Flashpoint считает, что ИБ-специалисты могут значительно сократить свою рабочую нагрузку, сосредоточившись сначала на опасных и критических уязвимостях, требующих срочного принятия мер.

Вместо того, чтобы основываться на оценках CVSS, специалисты должны отдавать приоритет потребностям бизнеса, чтобы сократить количество невыполненных заявок, которое постоянно растет с ежедневными обновлениями безопасности.

Несмотря на то, что устранение наиболее опасных брешей в безопасности часто требуется в первую очередь, программы Bug Bounty и регулярные пентесты могут повысить эффективность управления уязвимостями.

Несоответствие количества эксплуатируемых уязвимостей.

В ходе эксперимента эксперты Flashpoint собрали 311 уязвимостей, которые использовались в дикой природе, а сервис Project Zero от Google включает 221 таких ошибок. Такое несоответствие показывает, что в этой категории есть уязвимости, которые выходят за рамки работы Project Zero.

И хотя не было замечено, чтобы эти недостатки использовались APT-группами в своих атаках, знание этих проблем может принести большую пользу частным организациям, поскольку ошибки затрагивают широко используемое ПО и разрабатываемые технологии, такие как блокчейн.

Что все это значит для управления исправлениями?

Управление исправлениями может быть полезным, поскольку раскрытие информации об уязвимостях обычно вдохновляет на множество общедоступных эксплоитов, которые могут использоваться различными злоумышленниками, не входящими в APT-группы.

Исправление уязвимости может оказаться проблемой для ИБ-специалистов, поскольку это не то же самое, что нажать кнопку для обновления. Этот процесс может занять недели или даже месяцы.

Соблюдение требований иногда может создавать ложное ощущение безопасности, однако, устаревшее ПО представляет собой серьезный риск для организаций и довольно часто является основной причиной массовых кибератак.