Будто песок сквозь пальцы: организации расходуют ресурсы на устранение неактуальных уязвимостей

Согласно отчету компании Rezilion, специализирующейся на обеспечении безопасности поставок ПО, многие организации неэффективно используют свои ограниченные ресурсы на устранение неактуальных уязвимостей. Выводы компании основаны на том, что организации сейчас способны устранить лишь 10% от общего числа уязвимостей, при этом эксплуатируются только 5% ошибок.

Rezilion акцентирует внимание на модели оценки вероятности эксплуатации уязвимости (Exploitability Probability Prediction Score, EPPS), которая помогает определить вероятность эксплуатации конкретной уязвимости и её уровень опасности.

Модель EPPS, созданная на основе инициативы сообщества специалистов, использует информацию о распространенных уязвимостях и эксплуатациях (Common Vulnerabilities and Exposures, CVE) в сочетании с фактами реальной эксплуатации для формирования рейтинга.

В ходе исследования компания Rezilion обнаружила более 30 активно эксплуатируемых уязвимостей с высоким рейтингом EPPS, которые не были включены в базу данных эксплуатируемых уязвимостей ( Known Exploited Vulnerabilities, KEV ) CISA.

Представитель Rezilion высказал свою озабоченность по поводу текущего подхода организаций, полагающихся на систему оценки общих уязвимостей (Common Vulnerability Scoring System, CVSS). По словам представителя, хотя CVSS выявляет потенциальную опасность уязвимости, рейтинг не дает реальной оценки вероятности эксплуатации.

Такой подход приводит к тому, что ИБ-команды составляют списки уязвимостей для исправления, большая часть из которых не будет эксплуатироваться. В результате, ограниченные ресурсы на устранение уязвимостей расходуются нерационально.

Для более эффективной расстановки приоритетов устранению недостатков Rezilion предлагает применять комбинированный подход, основанный на системах CVSS, KEV и EPPS в совокупности с проверкой в режиме реального времени.

Текущая система оценки уязвимостей вызывает разрыв между ИБ-специалистами и разработчиками приложений. Разработчикам часто не хватает времени и ресурсов для создания большинства исправлений, в результате чего большинство уведомлений о безопасности игнорируются. Для преодоления разрыва Rezilion предлагает применять простые математические методы оценки рисков.