Нова стратегія має допомогти організаціям розібратися, які уразливості дійсно необхідно виправляти
Нова стратегія повинна допомогти організаціям розібратися, які вразливості дійсно необхідно виправляти
Як відомо, невразливих систем немає. Щорічно ідентифікатори CVE присвоюються тисячам виявлених уразливостей, і слідкувати за кожною новою практично не реально. Як зрозуміти, які з них компаніям слід виправляти насамперед, а з якими можна почекати, намагалися розібратися фахівці на конференції Black Hat USA, яка проходила минулого тижня у Лас-Вегасі.
Експерти компанії Kenna Security і компанії Cyentia Institute назвали управління вразливістю «злісною проблемою», оскільки воно не можна порівняти з кількістю вразливостей, що виявляються. За їхніми словами, щомісяця виправляється лише 10% від усіх уразливостей. Їх занадто багато, щоб компанії могли виправити все, тому необхідно розробити стратегію, яка б вирішила цю проблему, вважають фахівці.
Нова стратегія має допомогти організаціям розібратися, які вразливості дійсно потрібно виправляти. Теоретично, у цьому має допомогти система оцінки CVSS – що вища оцінка, то серйозніша проблема. Проте всі уразливості, що отримали 7 і вище балів згідно з CVSS, вважаються критичними. Таких «критичних» уразливостей все одно надто багато і зрозуміти, які з них мають бути у пріоритеті, неможливо. «CVSS просто DoS-іт ваші політики встановлення патчів і змушує кидати гроші на вітер»
За словами дослідників, лише 2-5% від усіх критичних уразливостей справді експлуатуються у реальних атаках. Тому потрібно створити систему оцінки небезпеки вразливостей, яка б брала до уваги потенційну можливість їх експлуатації на практиці.
Такою системою може стати Exploit Prediction Scoring System (EPSS) представлена на Black Hat USA. Для визначення можливості реальної експлуатації вразливості EPSS використовує понад десять критеріїв. Сюди входить CVE, оцінка CVSS, наявність PoC-експлоїтів та експлоїтів, що використовуються кіберзлочинцями, операційна система, вендор та інші змінні. Зважаючи на всі вищезгадані критерії, EPSS видає відсоток ймовірності експлуатації тієї чи іншої вразливості в реальних атаках.
