Risk-Based Approach to Vulnerability Prioritization by Health-ISAC

Основное внимание в документе «Health-ISAC: Risk-Based Approach to Vulnerability Prioritization» уделяется пропаганде более тонкого и риск-ориентированного подхода к бесполезно-полезной задаче управления уязвимостями. И всё это в мире, где количество уязвимостей настолько велико, что это может довести любого, кто попытается их все исправить, до нервного срыва. Решение видится «радикальным» и инновационным — расставлять приоритеты на основе реального риска, а не просто бегать, как безголовый всадник, пытаясь справиться с оценкой CVSS пока с неба падают апокалиптичные коты.

В документе признается абсурдность традиционного подхода «это надо было исправить ещё вчера», учитывая, что только 2–7% опубликованных уязвимостей когда-либо эксплуатировались. Это все равно что каждый день готовиться ко всем возможным стихийным бедствиям, а не только к тем, которые, скорее всего, обрушатся на ваш район. В документе представлен набор методов, в том числе EPSS и SSVC, которые призваны помочь организациям разобраться в хаосе уязвимостей со снайперской точностью (ну или обесточить всё).

По сути, документ представляет собой призыв к организациям принять более стратегический, целенаправленный подход, учитывающий такие факторы, как фактическая возможность использования уязвимости, стоимость активов, подверженных риску, и то, находится ли уязвимый объект в Интернете или скрывается за уровнями контроля безопасности. Документ в очередной раз пытается продать идею работать умнее, а не усерднее, в кибербезопасном эквиваленте бесконечной игры в тетрис, где кубики просто летят все быстрее и быстрее.

Ключевые выводы

Итак, давайте погрузимся в захватывающий мир управления уязвимостями. Если вы молодая организация, у вас может возникнуть соблазн устранить все критические и близкие к ним уязвимости с помощью системы оценки в выбранном инструменте сканирования. Это все равно что пытаться купить весь фондовый рынок в попытке диверсифицироваться.

Не всегда требуется пользоваться самые критичными уязвимостями; вместо этого набор из менее критичных уязвимостей могут объединить в цепочку эксплойтов, чтобы получить доступ к системам.

Документ напоминает, что также необходимо учитывать сетевое расположение «активов». Уязвимости и неправильные настройки всегда должны быть в приоритете, иначе вашей компании стоит обратиться к дизайнерам за неоновой вывеской приглашающей зайти в клуб повеселиться.

Также не будем забывать об игре в «Монополию», т. е. о стоимости активов, только вместо собственности вы имеете дело с активами организации. Если устройство, имеющее первостепенное значение для функционирования бизнеса или содержащее критически важную информацию, будет скомпрометировано, вас мало будут беспокоить остальное (поэтому уберите бутылку виски с кнопки DELETE).

В то же время, важно думать о снижении риска в случае применения уязвимости. В идеале — уязвимость должна сработать в песочнице и не оказать никакого эффекта на другие узлы и устройства. Так что нанимайте серьёзных ребят, которые будут яростно выкидывать железо из окон в качестве компенсационных мер.

Наконец, есть система оценки прогнозирования эксплойтов (EPSS) и классификация уязвимостей для конкретных заинтересованных сторон (SSVC). EPSS подобен хрустальному шару, предсказывающему вероятность того, что уязвимость будет использована в реальности. SSVC, с другой стороны, подобен персонализированной дорожной карте, ориентированной на ценности, включая статус использования уязвимости в системе безопасности, её влияние на неё и распространённость затронутых продуктов.

Такой подход позволяет высвободить больше времени и на другие задачи и проблемы организации ну, или же, весело провести время на американских горках.

Подробный разбор