Приоритизация уязвимостей с учетом контекста всегда была сложной задачей для команд управления уязвимостями, и эта задача не становится проще по мере роста числа опубликованных CVE. Чтобы решить эту проблему, многие предприятия вынуждены инвестировать в продукты и услуги для защиты своих сред с помощью различных аналитических данных и инструментов. В этой статье рассматривается, как Tenable Vulnerability Intelligence и Exposure Response помогают организациям принимать решения на основе данных, чтобы лучше расставить приоритеты и оптимизировать свои программы.
Управление уязвимостями представляет собой, казалось бы, непреодолимое препятствие для организаций – как справиться с огромным и быстро растущим числом опубликованных общих уязвимостей и уязвимых мест (CVE)? Как организация, изначально ориентированная на управление уязвимостями, Tenable также сталкивается с этой проблемой, но с дополнительными сложностями: из-за широкой клиентской базы Tenable необходимо охватить как можно больше CVE в как можно большем количестве продуктов, сохраняя при этом контекст риска, точность и надежность.
Решение состоит не в том, чтобы пытаться проверить все возможные комбинации CVE и затронутые продукты. Нужно расставить приоритеты для самых критических уязвимостей с точным и целенаправленным контекстом. Для быстрого и точного принятия таких решений компания Tenable использует обширную базу данных с возможностью поиска информации об уязвимостях как из внешних источников, так и из Tenable Research. Именно этот источник данных лежит в основе новой возможности продукта Tenable Vulnerability Management под названием Vulnerability Intelligence, которая призвана помочь более эффективно управлять уязвимостями и быстро принимать решения о приоритетах на основе данных.
Все плохо и становится еще хуже
Прошла только половина 2024 года, а уже понятно, что в этом году число опубликованных CVE превысит 30 000. Еще больше осложняет ситуацию то, что мы видим все больше и больше CVE в базовых компонентах, фреймворках и языковых библиотеках. Это означает, что организации не исправляют одно приложение, а отслеживают и исправляют все приложения, использующие уязвимый компонент.
Использование Vulnerability Intelligence для разработки стратегий приоритизации
Помимо ежедневных усилий по обеспечению актуального покрытия уязвимостей в релизах основных продуктов, компания Tenable постоянно следит за появлением следующей крупной уязвимости, чтобы как можно быстрее реагировать на нее. Использование контекстных данных, полученных в результате анализа уязвимостей, очень важно для быстрого принятия обоснованных решений. Кроме того, в условиях значительного отставания Национальной базы данных уязвимостей (NVD) набор данных Vulnerability Intelligence позволяет Tenable быть в курсе последних уязвимостей и рисков, поскольку Tenable не привязаны к одному источнику данных.
Открыв раздел Vulnerability Intelligence, можно увидеть набор шестиугольников, представляющих категории риска уязвимостей, которые Tenable выделяет как имеющие самый высокий уровень угроз. Хотя категории в Vulnerability Intelligence не являются исключительно используемыми критериями принятия решений, они основаны на данных, которые поступают в базу данных уязвимостей Tenable, на основе которой принимаются решения по оценке риска.
Категории включают:
- Новые угрозы – это набор уязвимостей, которые активно отслеживаются Security Response и часто имеют прямой путь от этой команды к разработке плагинов для устранения этих уязвимостей, особенно тех, которые относятся к категориям «Уязвимости, представляющие интерес» и «Уязвимости, вызывающие беспокойство».
- VPR дает числовую оценку для быстрого ввода и сортировки, хотя, как и в случае с любой оценкой, понимание контекста, лежащего в ее основе, имеет решающее значение.
- Программы-вымогатели выделяют уязвимости, связанные с этим типом атак, особенно в крупных корпоративных приложениях, поскольку они могут привести к атакам, особенно опасным для любых организаций.
Как видно на скриншоте выше, фокусировка на любой из этих целевых категорий может значительно сократить количество CVE, на которых нужно сосредоточиться. В сравнении с примерно 250 000 опубликованных CVE, приведенные выше цифры становятся гораздо более управляемыми и говорят о реальном риске.
Превращение данных в стратегию расстановки приоритетов
Многие организации до сих пор строят свою работу на основе базовых показателей приоритетности – будь то нацеленность на конкретные продукты, баллы CVSS или собственные стандарты. Часто это связано с необходимостью придерживаться определенных стандартов соответствия или просто с необходимостью иметь что-то, что можно измерить. Хотя отслеживание и измерение по простой шкале CVSS или степени серьезности может быть простым, оно не дает большого контекста и не является стратегией, которая оказывает очевидное влияние на риск.
Именно в этом помогает новая функция Exposure Response в Tenable Vulnerability Management. Exposure Response позволяет командам разрабатывать стратегии управления уязвимостями, которые поддаются измерению и отражают реальные риски. Одним из важнейших инструментов любой программы VM является возможность отслеживания производительности. К сожалению, большинство графиков в итоге выглядят как горизонтальная линия, потому что количество новых уязвимостей, поступающих в систему, в итоге сводит на нет количество уязвимостей, которые устраняются на постоянной основе.
Инициативы CISA KEV
Каталог известных эксплуатируемых уязвимостей (KEV) Агентства кибербезопасности и безопасности инфраструктуры США (U.S. Cybersecurity and Infrastructure Security Agency) стал ценным и популярным ресурсом, который привлекает внимание к определенному набору уязвимостей, имеющих признаки эксплуатации в реальных условиях. Несмотря на то, что KEV не является всеобъемлющим, риск, связанный с этими конкретными CVE, и то внимание, которое многие организации уделяют KEV, сделали его одним из нескольких критериев, которые команды Tenable Research используют для отслеживания охвата уязвимостей. Используя Exposure Response, команды по управлению уязвимостями могут аналогичным образом создать отслеживаемую инициативу на основе CISA KEV для сравнения своих усилий по исправлению ситуации. Как уже говорилось, SLA и контрольные показатели являются критически важными для любой стратегии исправления. Tenable стремится обеспечить покрытие уязвимостей KEV как можно быстрее, в идеале – до того, как они попадут в KEV, но если это не так, то зачастую в течение нескольких часов после публикации в KEV.
Exposure Response предоставляет точные инструменты, необходимые для проведения подобных измерений. Учитывая видимость и риск, связанный с KEV, имеет смысл установить SLA всего на несколько дней и стремиться к поддержанию контрольного показателя >90 % устраненных обнаружений. Главное, чтобы разработанные стратегии были измеримыми и достижимыми.
В отличие от 250 000 CVE, которые были опубликованы, на сегодняшний день в каталоге CISA KEV всего 1 134 CVE. Учитывая, что каждый месяц в KEV добавляется лишь несколько CVE, это впечатляющий набор CVE, по которому команды могут реально оценивать эффективность.
Заключение
Приоритизация и оперативное устранение уязвимостей остаются ключевыми задачами для команд по управлению уязвимостями. С каждым годом количество новых уязвимостей растет, и без доступного контекста расстановка приоритетов превращается либо в игру в угадайку, либо требует чрезмерных усилий, либо оказывается недостаточной при использовании, например, только критичности CVSS. Поэтому в Tenable Vulnerability Management была внедрена система Vulnerability Intelligence, которая собирает весь необходимый контекст в одном месте, и функция Exposure Response, обеспечивающая целенаправленный и измеримый процесс управления уязвимостями.
Источник: Turning Data into Action: Intelligence-Driven Vulnerability Management
