Своевременное устранение уязвимостей является постоянной проблемой для организаций, которые стремятся определить приоритетность рисков, представляющих наибольший риск для их деятельности. Существующие системы оценки являются бесценными, но могут не учитывать контекст. В данной статье описано как система классификации Tenable Vulnerability Watch может помочь в решении этой проблемы.
Предыстория
В последние годы исследовательская организация Tenable наблюдала, как известные уязвимости и уязвимости нулевого дня поражают организации сразу после раскрытия или даже через несколько лет после этого. После каждой опубликованной статьи в блоге Tenable или отчета об угрозах возникал один и тот же вопрос: почему так много организаций испытывают трудности со своевременным устранением уязвимостей?
Tenable следили за эволюцией вариантов COVID-19 на протяжении всего начала пандемии и заметили, что Всемирная организация здравоохранения (ВОЗ) начала маркировать новые варианты по системе классификации по мере того, как вирус начал мутировать. Эта система классификации была разработана, чтобы помочь в определении приоритетов для мониторинга и исследований. Она включала доступные обозначения, такие как «варианты, представляющие интерес» и «варианты, вызывающие обеспокоенность», чтобы помочь донести срочность ситуации и привлечь внимание всего мира.
Стоит задуматься: а что, если взять за основу ту же систему классификации, которую использует ВОЗ, и применить ее к аналитической информации об уязвимостях? Системы на основе цифровых оценок, такие как Common Vulnerability Scoring System (CVSS) и Exploit Prediction Scoring System (EPSS), предоставляют механизмы приоритизации на основе балльной оценки. Однако они не всегда предоставляют достаточно контекста, чтобы помочь лицам, принимающим решения. А что, если мы будем использовать простую, понятную и основанную на статусе терминологию для сообщения о рисках, связанных с уязвимостями, чтобы направлять действия?
Это побудило Tenable разработать Vulnerability Watch, систему классификации уязвимостей, вдохновленную классификацией вариантов COVID-19, разработанной ВОЗ. Vulnerability Watch — небольшая, но важная часть предложения Tenable Vulnerability Intelligence, запущенного в 2024 году. Теперь, помимо того, что классификации Vulnerability Watch доступны в продукте, их можно найти на странице Tenable CVE, а также на отдельных страницах CVE для отдельных уязвимостей, которые были классифицированы в рамках Vulnerability Watch.
В этом блоге рассматриваются некоторые проблемы, с которыми сталкиваются организации в процессе приоритизации и устранения уязвимостей, а также рассказывается, как в этом может помочь система классификации, такая как Vulnerability Watch.
Если все важно, то ничего не важно
CVSS — это наиболее широко используемый показатель при присвоении оценки серьезности общих уязвимостей и угроз (CVE). Оценки CVSS присваиваются поставщиком и/или авторитетным органом, таким как Национальный институт стандартов и технологий (NIST). Каждая оценка CVE основана на различных показателях, от возможности использования до воздействия, с соответствующим уровнем серьезности, связанным с этими оценками. Уровни критичности включают низкий, средний, высокий и критический.
При изучении репозиториев, таких как каталог известных уязвимостей (KEV) Агентства по кибербезопасности и инфраструктурной безопасности (CISA), можно сделать выводы о степени критичноси и риске уязвимостей. В 2024 году CISA добавило в KEV в общей сложности 186 CVE.
Четыре из десяти (40 %) из этих 186 CVE были оценены как критические. Остальные 60 % составили уязвимости высокой степени серьезности (46,2 %) и средней степени серьезности (13,4 %). Это подчеркивает, что одной только степени критичности недостаточно для принятия решений о приоритетности уязвимостей.
Уровень устранения уязвимостей подчеркивает необходимость большей ясности
Несмотря на то, что KEV является ценным ресурсом для специалистов по безопасности, Tenable по-прежнему наблюдает, что многие организации не исправляют эти критические уязвимости своевременно. Несмотря на серьезность уязвимостей и их включение в KEV, исследование Tenable выявило общую тенденцию низкого уровня устранения уязвимостей.
Эта тенденция была отмечена в рамках сотрудничества с Verizon над отчетом «Расследование утечек данных в 2025 году» (DBIR). Tenable Research проанализировала более 160 миллионов точек данных и оценила показатели устранения уязвимостей для списка из 17 CVE в периферийных устройствах, отмеченных в DBIR. Из 17 CVE более половины (52,9 %) были некритическими уязвимостями (менее 9,0 баллов по шкале CVSS).
Tenable также проанализировали средние показатели устранения этих CVE в различных отраслях промышленности. В ходе этого анализа было обнаружено, что многие отрасли сталкиваются с проблемами при устранении многих из этих уязвимостей. Например, CVE-2024-21762 и CVE-2024-23113, пара критических уязвимостей Fortinet, имели очень длительные сроки устранения, в среднем от 172 до 260 дней. Даже CVE-2024-3400, критическая уязвимость в Palo Alto Networks PAN-OS, которой был присвоен максимальный балл CVSS 10,0, в большинстве отраслей устранялась в среднем более 100 дней.
Существует множество причин, по которым организации могут сталкиваться с трудностями при устранении уязвимостей, в том числе организационная разобщенность, простои, необходимые для установки исправлений, и сложность определения приоритетности уязвимостей в зависимости от представляемого ими риска. Хотя существующие системы оценки предоставляют ценные рекомендации, мы считаем, что для сокращения времени устранения уязвимостей необходим дополнительный контекст.
Семантический уровень для анализа уязвимостей
Классификации Tenable Vulnerability Watch не заменяют CVSS, EPSS или любые другие метрики оценки. Они по-прежнему служат отдельной цели при приоритизации уязвимостей. Tenable также понимают, что команды по кибербезопасности часто завалены потоком предупреждений, и порой бывает сложно отделить сигнал от шума. Эти классификации Vulnerability Watch предлагают семантический уровень, который помогает перевести риски в терминологию, более понятную для различных заинтересованных сторон, участвующих в устранении уязвимостей.
Классификация уязвимостей Vulnerability Watch от Tenable
Vulnerability Watch включает следующие классификации: уязвимости, которые отслеживаются, уязвимости, представляющие интерес, и уязвимости, вызывающие опасения. Ниже приводится краткое описание каждой классификации.
Уязвимость, находящаяся под наблюдением
Уязвимость, находящаяся под наблюдением (VBM), – это уязвимость, которая может повлиять на клиентов определенного программного обеспечения или оборудования и активно отслеживается и исследуется Tenable Research. VBM могут быстро превратиться в уязвимости, представляющие интерес (VOI), или уязвимости, вызывающие опасения (VOC), если будет обнаружена доказательная концепция (PoC) или возможность эксплуатации, либо если дополнительная информация укажет на необходимость уделить особое внимание этой уязвимости. VBM активно отслеживаются и повышаются до статуса VOI/VOC, если система Tenable Vulnerability Intelligence обосновывает повышение статуса уязвимости.
Некоторые недавние примеры VBM включают CVE-2024-48887, неподтвержденную уязвимость изменения пароля в FortiSwitch, и CVE-2025-23120, уязвимость удаленного выполнения кода в Veeam Backup and Replication.
Уязвимость, представляющая интерес
Уязвимость, представляющая интерес (VOI), – это уязвимость, которая соответствует критериям VBM, но в отношении которой дополнительная информация указывает на повышенный риск воздействия на клиентов или подтверждает такой риск посредством публикации PoC или сведений, которые могут быть использованы для создания PoC, а также первоначальных сообщений об эксплуатации.
Некоторые недавние примеры VOI включают CVE-2025-22457, который был использован китайским злоумышленником, известным как UNC5221, и CVE-2025-32433, уязвимость удаленного выполнения кода в Erlang/OTP SSH.
Уязвимость, вызывающая опасения
Уязвимость, вызывающая опасения (VOC), – это уязвимость, которая соответствует критериям VOI, но в отношении которой в ближайшее время может начаться или уже началось активное широкомасштабное использование. В случае VOC легкость использования в сочетании с серьезностью проблемы может привести нас к выводу, что широкомасштабное использование неизбежно, если оно еще не началось. Разработчики программного обеспечения или устройств, уязвимых для VOC, могут ожидать попыток использования и поиска уязвимых ресурсов.
Недавние примеры VOC включают две уязвимости ConnectWise Screen Connect (CVE-2024-1709, CVE-2024-1708) и Citrix Bleed (CVE-2023-4966).
Классификация также и гибкая: CVE может быть переклассифицирован из VBM в VOI, из VOI в VOC или даже из VOC обратно в VOI по мере изменения контекста риска.
Заключение
Tenable знают, что нет единой панацеи от проблем, связанных с приоритизацией уязвимостей и их устранением. Эти проблемы требуют комплексного подхода. Опираясь на опыт экспертов Tenable Research, классификация Tenable Vulnerability Watch помогает разъяснить некоторые сложности, связанные с CVSS и EPSS, и предоставляет заинтересованным сторонам более простой и интуитивно понятный способ оценки и приоритизации рисков, связанных с новыми угрозами, что может способствовать более быстрому реагированию и устранению уязвимостей.
Источник: Reducing Remediation Time Remains a Challenge: How Tenable Vulnerability Watch Can Help
