Управление уязвимостями остается краеугольным камнем превентивной кибербезопасности, но организации по-прежнему ведут борьбу с их перегруженностью и более изощренными угрозами. Новое решение Exposure Signals от Tenable предоставляет командам безопасности полный контекст, чтобы они могли перейти от управления уязвимостями к управлению воздействиями и эффективно определять приоритеты высокорискованных воздействий по всей сложной поверхности атаки.
Обнаружена критическая уязвимость, и злоумышленники по всему миру активно используют ее в реальных условиях. Ваша команда по устранению уязвимостей вступает в бой и определяет, что уязвимость присутствует в сотнях активов вашей организации. Какие из них вы будете исправлять в первую очередь? Как расставить приоритеты в работе по устранению уязвимостей? Какие критерии вы используете? Счёт идёт на часы. Хакеры начеку.
В оценке уязвимостей есть смысл полагаться на такие показатели как рейтинг приоритетности уязвимостей (Vulnerability Priority Rating, VPR). Это отличный старт, но он дает лишь один показатель риска. Чтобы точно и эффективно определить приоритеты устранения, необходимо учитывать множество других критериев, таких как тип, владелец и функции уязвимого актива, уровень доступа и привилегии актива, а также критические пути атаки в вашу среду.
Такой всеобъемлющий, целостный контекст позволит вам правильно расставить приоритеты, но достичь этого можно только с помощью другого подхода, выходящего за рамки традиционного управления уязвимостями. Таким подходом является управление воздействием.
При управлении уязвимостями ваша команда сможет точно определить подмножество активов, затронутых гипотетической уязвимостью, которые, например, доступны извне, обладают привилегиями на уровне домена и являются частью критического пути атаки. Таким образом, они будут знать, где существует наибольший риск и что нужно исправить в первую очередь. Наличие такого глубокого понимания, контекста и наглядности преобразует уравнение оценки рисков и позволяет вашей команде по управлению уязвимостями действовать решительно, быстро и стратегически.
В этом блоге рассказывается, почему вашим командам по управлению уязвимостями крайне важно перейти к управлению рисками, и объясним, как Tenable может помочь им в этом.
Чтобы выявить самые рискованные вирусы, управление уязвимостями требует более широкого контекста воздействия
В современном развивающемся ландшафте кибербезопасности управление уязвимостями остается одним из основополагающих элементов стратегии проактивной защиты организации. Однако этим командам все еще трудно справиться с возросшим уровнем рисков, связанных с постоянным увеличением числа общих уязвимостей и дефектов безопасности (CVE) и других дефектов.
Многие команды безопасности часто перегружены огромным количеством уязвимостей, а ресурсы для их эффективного устранения ограничены. Изощренность и скорость действий субъектов угроз возросли, у злоумышленников появилось больше точек входа, они используют новые тактики, техники и процедуры для получения доступа к другим критически важным областям бизнеса, что свидетельствует о том, что атаки больше не линейны, а многогранны.
Обычно команды безопасности сталкиваются с такими проблемами:
- Перегруженность уязвимостями – эта давняя проблема становится все более серьезной. Командам безопасности становится как никогда сложно просеивать лавину CVE и определять области бизнеса, подверженные наибольшему риску.
- Отсутствие контекста воздействия для определения приоритетов – Ваши команды принимают решения, не имея достаточного контекста. Анализ угроз и критичности уязвимостей – отличное начало, но, ограничиваясь ими, вы не получаете полного контекста, необходимого для правильной расстановки приоритетов.
- Медленный отклик на устранение последствий – как проактивные, так и реактивные команды безопасности уделяют огромное количество времени реагированию на критические уязвимости. Ресурсы распылены, поэтому как никогда важно, чтобы команды уверенно определяли наиболее рискованные уязвимости, рекомендуя меры по их устранению.
Необходимо перейти от мышления, ориентированного на уязвимость, к мышлению, ориентированному на воздействие
Знание проблем, с которыми вы сталкиваетесь сегодня, поможет понять преимущества управления рисками. Недостающие звенья между уязвимостью и воздействием – это дополнительные слои контекста. Наличие многомерного контекста позволяет понять не только сами уязвимости, но и их потенциальное влияние в рамках более широкой поверхности атаки.
Для тех, кто никогда не слышал об управлении рисками или только начинает работать, эта дисциплина имеет множество преимуществ. Компания Tenable используемт тот же подход в своей платформе управления рисками. Цель проста – управление рисками позволяет организациям более эффективно определять приоритеты в работе по устранению последствий. Это позволяет получить информацию, которая помогает разработать стратегию устранения не только самих уязвимостей, но и возникновения рисков, которые могут привести к значительным нарушениям.
Переход от уязвимости к ее решению
Чтобы преодолеть разрыв между управлением уязвимостями и управлением рисками, необходимо подключить контекст по всей поверхности атаки. Управление уязвимостями обеспечивает контекст, который предсказывает вероятность атаки и отображает ключевые факторы, возраст уязвимости и источники угроз. Эти атрибуты полезны, но мы можем пойти гораздо дальше, чтобы повысить эффективность расстановки приоритетов. Для этого необходимо иметь более широкий обзор и более глубокое понимание всей поверхности атаки, чтобы понять общую картину воздействия.
В частности, командам безопасности необходим дополнительный контекст:
- Контекст актива – Существует множество уровней актива, которые могут помочь в принятии решений о приоритетности. Важно понимать критичность актива, связанную с его типом, функциями, именем владельца и связями с другими активами. Даже знание того, доступен ли актив через Интернет или нет, определяет приоритетность его устранения.
- Идентификаторы – Идентификаторы служат краеугольным камнем для успешных атак, поэтому для управления рисками важно понимать их контекст. Понимание уровней привилегий, прав и информации о пользователях поможет предотвратить повышение полномочий и продвижение злоумышленников. Сосредоточение усилий по определению приоритетов на уязвимых активах с правами домена и администратора – важнейшая передовая практика для снижения вероятности взлома.
- Контекст угроз – Наличие различных уровней контекста угроз также важно для определения приоритетов. Угрозы меняются со временем, поэтому использование динамических оценок, таких как VPR или Asset Exposure Score (AES), может показать индикаторы риска. Tenable также можеn привнести контекст из моделирования путей атак, чтобы повлиять на решения по устранению угроз с точки зрения злоумышленника, понимая количество критических путей атак или «дроссельных точек» в вашей среде.
Когда аналитики по безопасности получают эту дополнительную информацию, они могут по-настоящему понять широту и глубину воздействия. Именно так происходит расстановка приоритетов в новом мире управления воздействиями.
Представляем Exposure Signals
Чтобы облегчить вам переход к такому подходу к управлению рисками, Tenable разработали новую возможность расстановки приоритетов под названием Exposure Signals. Доступная в Tenable One, платформе Tenable для управления рисками, Exposure Signals позволяет командам безопасности иметь более полный контекст в одном месте.
Есть два способа использовать эти новые Exposure Signals. Первый – получить доступ к обширной библиотеке готовых сигналов, связанных с высоким риском. Эти легко доступные сигналы сигнализируют о потенциальном риске в вашей среде и служат отличной отправной точкой для управления рисками. Например, вы можете просто увидеть и сослаться на них:
- Группа администраторов домена на подверженных воздействию интернета хостах с критическими уязвимостями
- Устройства, выходящие в интернет через RDP со связанной учетной записью со скомпрометированным паролем
- Облачные активы с обнаруженными критическими уязвимостями и оценкой подверженности активам выше 700
Exposure Signals позволяет отслеживать количество нарушений, которые сигнализируют о наличии в вашей среде сценариев повышенного риска. Регулярно просматривайте этот список, чтобы увидеть, как он меняется со временем, благодаря уникальной линии тренда. Этот процес можно взять под контроль, просмотрев затронутый актив и его контекстную информацию в модуле Inventory.
Второй способ использования Exposure Signals – это создание собственных сигналов с помощью конструктора запросов или обработки естественного языка (NLP) поиска на базе ExposureAI. Таким образом, вы можете сделать как широкий, так и точный запрос. Допустим, в отрасли появилась новая уязвимость нулевого дня, наподобие Log4Shell. Вы можете легко создать сигнал, указывающий на то, какие активы имеют уязвимость, выходят в интернет и имеют привилегии администратора домена. Tenable объединяет эти компоненты, чтобы вы могли понять истинный риск и лучше определить приоритеты.
Источник: Context Is King: From Vulnerability Management to Exposure Management
