Возможно, вас удивит тот факт, что каждый день публикуется более 70 новых уязвимостей. И несмотря на то, что решения для управления уязвимостями помогают командам SOC (Security Operations Center) снижать риски и устранять их, у них есть недостатки. Часто они предоставляют лишь краткий обзор уязвимостей организации на определенный момент времени. Фактически, в силу своей природы уязвимости, выявленные сегодня, могут не существовать завтра, или же они могут периодически появляться и исчезать. Это заставляет специалистов по безопасности с трудом понимать не только то, в чем заключается риск, но и как он влияет на них. С чего им следует начать в первую очередь при устранении любых проблем.

Часто решения для управления уязвимостями не могут эффективно поддерживать команды SOC, что означает, что им приходится вести тяжелую борьбу с фрагментированными инструментами и хранилищами данных. Это, в свою очередь, создает серьезные проблемы, связанные с усталостью от оповещения и перегруженностью команд SOC, которые, несмотря на все доступные им инструменты, в итоге проводят ручные исследования, чтобы определить наилучший вариант реагирования.

Проблемы сложны и широкомасштабны

Для тех, кто не знаком с этим, управление уязвимостями - это практика постоянного обнаружения, классификации, определения приоритетов и реагирования на уязвимости программного обеспечения, аппаратного обеспечения и сети. Однако проблемы, связанные с управлением уязвимостями, сложны и имеют широкий спектр последствий, от технологий до политики и управления. По мере того как современные предприятия становятся все более технологически распределенными и ориентированными на облачные технологии, задача становится еще более сложной.

Я говорю это потому, что становится все труднее обеспечить полный доступ к технологическому стеку организации, а использование теневых технологий только усугубляет проблемы. Ограниченные ресурсы приводят к тому, что задачи по обеспечению кибербезопасности никогда не выполняются. Кроме того, масштабы и влияние рисков, связанных с цепочкой поставок программного обеспечения, только начинают осознаваться теми, кто не имеет отношения к индустрии разработки программного обеспечения.

К сожалению, те, кто отвечает за исправление уязвимостей в программном обеспечении, редко участвуют в процессе выбора технологии, что приводит к недостаточному обучению и совершенствованию выбора технологий. Если учесть растущий уровень соответствия требованиям, легко понять, насколько сложной является задача. В результате просто невозможно исправить и смягчить все уязвимости программного обеспечения, присутствующие в корпоративной сети.

Исторически сложилось так, что организации расставляли приоритеты по устранению неполадок на основе ограниченных данных, таких как соотношение сервера и рабочей станции, роль сотрудника, критичность активов, оценка уязвимостей и доступность исправлений. Но, несмотря на такой уровень приоритизации, исправление остается трудоемкой задачей. Этот подход также имеет ограниченную эффективность, поскольку не учитывает информацию о том, как эта уязвимость активно используется в дикой природе, и о рисках, связанных с тем, что злоумышленники используют ее в конкретной среде компании.

Не все активы созданы равными

Большинство компаний уделяют больше внимания последствиям и серьезности уязвимости, чем вероятности того, что они могут быть затронуты. Конечно, и то, и другое важно, но, если вы слишком сильно сосредоточитесь на серьезности и последствиях, вы можете не увидеть полной картины. Например, оценки CVSS (Common Vulnerability Scoring System — открытый стандарт, используемый для расчета количественных оценок уязвимости в безопасности компьютерной системы) в основном основаны на серьезности, а глобальные значения вероятности считаются действительными для всех организаций – это ошибочное предположение. Да, уязвимость может быть критической и иметь наивысшую степень серьезности, но эта уязвимость более или менее актуальна для вашей организации из-за угроз, которые на нее нацелены. Именно здесь на помощь приходит индивидуальная вероятность. Понимание собственной вероятности имеет решающее значение для определения приоритетов и сортировки.

Современное предприятие располагает новым объемом внутренних и внешних данных, позволяющих принимать более обоснованные решения в отношении действий и угроз, на которые необходимо реагировать. Хотя подверженность риску является важным фактором, влияющим на оценку риска, он действительно имеет значение только в том случае, если затронуты определенные элементы жизненного цикла уязвимости.

Например: во что обходится злоумышленникам разработка средств для использования уязвимости или доступно ли это в рамках существующих готовых наборов средств для атаки? Это один из основных факторов, влияющих на вероятность того, что уязвимость будет нацелена на массы. Приводит ли использование уязвимости к ситуации, которая соответствует требованиям, предъявляемым к инструментам, методам и процедурам (TTP - Tactics, Techniques, and Procedures) злоумышленника, что означает, что им легко достичь своей цели?

Принятие решений на основе данных

Это элементы, которые предприятие абсолютно не контролирует, но может изучить, чтобы ускорить процесс реагирования, если ответ на любой из этих вопросов будет положительным. Или же они могут быть использованы в качестве важных исходных данных для процесса принятия решений, позволяющих прекратить текущие усилия по смягчению последствий и переключиться на другие проблемы, которые потенциально могут с большей вероятностью повлиять на организацию. Именно здесь использование анализа угроз в сочетании с установленными методами управления уязвимостями может помочь организациям выявлять, расставлять приоритеты и устранять уязвимости, которые имеют более высокий профиль риска или потенциально могут оказать большее влияние на организацию.

Чтобы помочь специалистам-практикам в сортировке уязвимостей, желательно иметь список идентификаторов уязвимостей, представленных в виде списка приоритетов для смягчения последствий. Поскольку вероятность эксплуатации является ключевым фактором в уравнении рисков, крайне важно иметь точную, актуальную и поддающуюся проверке информацию, которая может помочь организации понять детали вероятности.

Объединяя информацию, доступную из различных государственных и частных, внутренних и внешних источников, можно улучшить списки приоритетов для повышения их точности. Автоматизированная оценка и ранжирование вероятности уязвимости стали возможны только сейчас во многих разрозненных источниках данных благодаря объединению данных в единую запись, содержащую достоверную информацию о том, что известно об уязвимости. Как только уязвимость достигает порогового значения или идентифицируются ключевые элементы контекста, могут быть запущены автоматические действия. Часто упускаемый элемент контекста, связанный с уязвимостью, — это вероятность использования.

Отказ от устаревших подходов к исправлению

Это помогает перейти от устаревшего подхода к управлению уязвимостями (необходимо исправлять все) к бизнес-ориентированному подходу, основанному на оценке рисков, и позволяет командам безопасности участвовать в процессе принятия бизнес-решений. Используя аналитические данные об угрозах из внутренних и внешних источников, команды по управлению уязвимостями могут выявлять, проверять и организовывать весь жизненный цикл управления уязвимостями ключевых активов, подверженных риску, и быстро устранять их с помощью автоматизации и совместной работы.

В условиях современного постоянно меняющегося ландшафта угроз организациям необходимо внедрить структурированный и эффективный процесс управления уязвимостями, основанный на оценке рисков, чтобы снизить риск нарушений безопасности и улучшить общее состояние безопасности. В этом отношении важен подход к анализу угроз на основе данных, поскольку он позволяет организациям точно выявлять уязвимости и определять их приоритетность, эффективно распределять ресурсы и автоматизировать процессы с использованием высокоточных данных.

Автор статьи на сайте BetaNews – Крис Джейкоб, вице-президент по анализу угроз компании ThreatQuotient.