logo Ирония безопасности

Risk-Based Approach to Vulnerability Prioritization by Health-ISAC

Основное ‎внимание‏ ‎в документе ‎«Health-ISAC: ‎Risk-Based ‎Approach ‎to‏ ‎Vulnerability ‎Prioritization» уделяется‏ ‎пропаганде‏ ‎более ‎тонкого ‎и‏ ‎риск-ориентированного ‎подхода‏ ‎к ‎бесполезно-полезной ‎задаче ‎управления‏ ‎уязвимостями.‏ ‎И ‎всё‏ ‎это ‎в‏ ‎мире, ‎где ‎количество ‎уязвимостей ‎настолько‏ ‎велико,‏ ‎что ‎это‏ ‎может ‎довести‏ ‎любого, ‎кто ‎попытается ‎их ‎все‏ ‎исправить,‏ ‎до‏ ‎нервного ‎срыва.‏ ‎Решение ‎видится‏ ‎«радикальным» ‎и‏ ‎инновационным‏ ‎— ‎расставлять‏ ‎приоритеты ‎на ‎основе ‎реального ‎риска,‏ ‎а ‎не‏ ‎просто‏ ‎бегать, ‎как ‎безголовый‏ ‎всадник, ‎пытаясь‏ ‎справиться ‎с ‎оценкой ‎CVSS‏ ‎пока‏ ‎с ‎неба‏ ‎падают ‎апокалиптичные‏ ‎коты.

В ‎документе ‎признается ‎абсурдность ‎традиционного‏ ‎подхода‏ ‎«это ‎надо‏ ‎было ‎исправить‏ ‎ещё ‎вчера», ‎учитывая, ‎что ‎только‏ ‎2–7%‏ ‎опубликованных‏ ‎уязвимостей ‎когда-либо‏ ‎эксплуатировались. ‎Это‏ ‎все ‎равно‏ ‎что‏ ‎каждый ‎день‏ ‎готовиться ‎ко ‎всем ‎возможным ‎стихийным‏ ‎бедствиям, ‎а‏ ‎не‏ ‎только ‎к ‎тем,‏ ‎которые, ‎скорее‏ ‎всего, ‎обрушатся ‎на ‎ваш‏ ‎район.‏ ‎В ‎документе‏ ‎представлен ‎набор‏ ‎методов, ‎в ‎том ‎числе ‎EPSS‏ ‎и‏ ‎SSVC, ‎которые‏ ‎призваны ‎помочь‏ ‎организациям ‎разобраться ‎в ‎хаосе ‎уязвимостей‏ ‎со‏ ‎снайперской‏ ‎точностью ‎(ну‏ ‎или ‎обесточить‏ ‎всё).

По ‎сути,‏ ‎документ‏ ‎представляет ‎собой‏ ‎призыв ‎к ‎организациям ‎принять ‎более‏ ‎стратегический, ‎целенаправленный‏ ‎подход,‏ ‎учитывающий ‎такие ‎факторы,‏ ‎как ‎фактическая‏ ‎возможность ‎использования ‎уязвимости, ‎стоимость‏ ‎активов,‏ ‎подверженных ‎риску,‏ ‎и ‎то,‏ ‎находится ‎ли ‎уязвимый ‎объект ‎в‏ ‎Интернете‏ ‎или ‎скрывается‏ ‎за ‎уровнями‏ ‎контроля ‎безопасности. ‎Документ ‎в ‎очередной‏ ‎раз‏ ‎пытается‏ ‎продать ‎идею‏ ‎работать ‎умнее,‏ ‎а ‎не‏ ‎усерднее,‏ ‎в ‎кибербезопасном‏ ‎эквиваленте ‎бесконечной ‎игры ‎в ‎тетрис,‏ ‎где ‎кубики‏ ‎просто‏ ‎летят ‎все ‎быстрее‏ ‎и ‎быстрее.

Ключевые‏ ‎выводы

Итак, ‎давайте ‎погрузимся ‎в‏ ‎захватывающий‏ ‎мир ‎управления‏ ‎уязвимостями. ‎Если‏ ‎вы ‎молодая ‎организация, ‎у ‎вас‏ ‎может‏ ‎возникнуть ‎соблазн‏ ‎устранить ‎все‏ ‎критические ‎и ‎близкие ‎к ‎ним‏ ‎уязвимости‏ ‎с‏ ‎помощью ‎системы‏ ‎оценки ‎в‏ ‎выбранном ‎инструменте‏ ‎сканирования.‏ ‎Это ‎все‏ ‎равно ‎что ‎пытаться ‎купить ‎весь‏ ‎фондовый ‎рынок‏ ‎в‏ ‎попытке ‎диверсифицироваться.

Не ‎всегда‏ ‎требуется ‎пользоваться‏ ‎самые ‎критичными ‎уязвимостями; ‎вместо‏ ‎этого‏ ‎набор ‎из‏ ‎менее ‎критичных‏ ‎уязвимостей ‎могут ‎объединить ‎в ‎цепочку‏ ‎эксплойтов,‏ ‎чтобы ‎получить‏ ‎доступ ‎к‏ ‎системам.

Документ ‎напоминает, ‎что ‎также ‎необходимо‏ ‎учитывать‏ ‎сетевое‏ ‎расположение ‎«активов».‏ ‎Уязвимости ‎и‏ ‎неправильные ‎настройки‏ ‎всегда‏ ‎должны ‎быть‏ ‎в ‎приоритете, ‎иначе ‎вашей ‎компании‏ ‎стоит ‎обратиться‏ ‎к‏ ‎дизайнерам ‎за ‎неоновой‏ ‎вывеской ‎приглашающей‏ ‎зайти ‎в ‎клуб ‎повеселиться.

Также‏ ‎не‏ ‎будем ‎забывать‏ ‎об ‎игре‏ ‎в ‎«Монополию», ‎т. ‎е. ‎о‏ ‎стоимости‏ ‎активов, ‎только‏ ‎вместо ‎собственности‏ ‎вы ‎имеете ‎дело ‎с ‎активами‏ ‎организации.‏ ‎Если‏ ‎устройство, ‎имеющее‏ ‎первостепенное ‎значение‏ ‎для ‎функционирования‏ ‎бизнеса‏ ‎или ‎содержащее‏ ‎критически ‎важную ‎информацию, ‎будет ‎скомпрометировано,‏ ‎вас ‎мало‏ ‎будут‏ ‎беспокоить ‎остальное ‎(поэтому‏ ‎уберите ‎бутылку‏ ‎виски ‎с ‎кнопки ‎DELETE).

В‏ ‎то‏ ‎же ‎время,‏ ‎важно ‎думать‏ ‎о ‎снижении ‎риска ‎в ‎случае‏ ‎применения‏ ‎уязвимости. ‎В‏ ‎идеале ‎—‏ ‎уязвимость ‎должна ‎сработать ‎в ‎песочнице‏ ‎и‏ ‎не‏ ‎оказать ‎никакого‏ ‎эффекта ‎на‏ ‎другие ‎узлы‏ ‎и‏ ‎устройства. ‎Так‏ ‎что ‎нанимайте ‎серьёзных ‎ребят, ‎которые‏ ‎будут ‎яростно‏ ‎выкидывать‏ ‎железо ‎из ‎окон‏ ‎в ‎качестве‏ ‎компенсационных ‎мер.

Наконец, ‎есть ‎система‏ ‎оценки‏ ‎прогнозирования ‎эксплойтов‏ ‎(EPSS) ‎и‏ ‎классификация ‎уязвимостей ‎для ‎конкретных ‎заинтересованных‏ ‎сторон‏ ‎(SSVC). ‎EPSS‏ ‎подобен ‎хрустальному‏ ‎шару, ‎предсказывающему ‎вероятность ‎того, ‎что‏ ‎уязвимость‏ ‎будет‏ ‎использована ‎в‏ ‎реальности. ‎SSVC,‏ ‎с ‎другой‏ ‎стороны,‏ ‎подобен ‎персонализированной‏ ‎дорожной ‎карте, ‎ориентированной ‎на ‎ценности,‏ ‎включая ‎статус‏ ‎использования‏ ‎уязвимости ‎в ‎системе‏ ‎безопасности, ‎её‏ ‎влияние ‎на ‎неё ‎и‏ ‎распространённость‏ ‎затронутых ‎продуктов.

Такой‏ ‎подход ‎позволяет‏ ‎высвободить ‎больше ‎времени ‎и ‎на‏ ‎другие‏ ‎задачи ‎и‏ ‎проблемы ‎организации‏ ‎ну, ‎или ‎же, ‎весело ‎провести‏ ‎время‏ ‎на‏ ‎американских ‎горках.


Подробный‏ ‎разбор

Предыдущий Следующий
Все посты проекта

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048