Неотдавна публикуван доклад на Security Navigator показва, че на фирмите все още им трябват 215 дни, за да поправят докладвана уязвимост. Дори за критични уязвимости обикновено са необходими повече от 6 месеца за поправяне.

Доброто управление на уязвимостите не се състои в това да бъдем достатъчно бързи при поправянето на всички потенциални пробиви. Става дума за фокусиране върху реалния риск, като се използва приоритизиране на уязвимостите, за да се коригират най-значимите недостатъци и да се намали най-много повърхността на атака на компанията. Данните на компанията и разузнаването на заплахите трябва да бъдат съпоставени и автоматизирани. Това е от съществено значение, за да се даде възможност на вътрешните екипи да съсредоточат усилията си за отстраняване на заплахите. Подходящите технологии могат да приемат формата на глобална платформа за разузнаване на уязвимостите. Такава платформа може да помогне за приоритизиране на уязвимостите с помощта на оценка на риска и да позволи на компаниите да се съсредоточат върху реалния си организационен риск.

Започваме

Три факта, които трябва да имате предвид, преди да създадете ефективна програма за управление на уязвимостите:

1. Броят на откритите уязвимости се увеличава всяка година. Всеки ден се откриват средно по 50 нови уязвимости, така че лесно можем да разберем, че е невъзможно да се закърпят всички.

2. Само някои уязвимости се експлоатират активно и представляват много висок риск за всички организации. Около 6 % от всички уязвимости някога се експлоатират в реалността: трябва да намалим тежестта и да се съсредоточим върху реалния риск.

3. Една и съща уязвимост може да има напълно различно въздействие върху бизнеса и върху инфраструктурата на две различни компании, така че трябва да се вземат предвид както бизнес експозицията, така и сериозността на уязвимостта. Въз основа на тези факти разбираме, че няма смисъл да закърпваме всяка уязвимост. Вместо това трябва да се съсредоточим върху тези, които представляват реален риск въз основа на средата на заплахите и организационния контекст.

Концепцията за управление на уязвимостта, основано на риска

Целта е да се съсредоточи върху най-критичните активи и активите с по-висок риск да бъдат обект на заплахи. За да подходим към програма за управление на уязвимостта, основана на риска, трябва да разгледаме две среди.

Вътрешна среда

Пейзажът на клиентите представлява вътрешната среда. Мрежите на компаниите се разрастват и диверсифицират, както и повърхността им за атаки. Повърхността на атака представлява всички компоненти на информационната система, които могат да бъдат достигнати от хакери. Наличието на ясна и актуална представа за вашата информационна система и за повърхността на атака е първата стъпка. Важно е да се вземе предвид и бизнес контекстът. Всъщност компаниите могат да бъдат по-голяма мишена в зависимост от техния бизнес сектор поради специфичните данни и документи, които притежават (интелектуална собственост, класифицирана защита…). Последният ключов елемент, който трябва да се вземе под внимание, е уникалният контекст на компанията, поотделно. Целта е да се класифицират активите в зависимост от тяхната критичност и да се подчертаят най-важните от тях. Например: активи, които, ако не са на разположение, биха причинили важно нарушение на непрекъснатостта на дейността, или висококонфиденциални активи, които, ако са достъпни, биха направили организацията отговорна за множество съдебни дела.

Външна среда

Пейзажът на заплахите представлява външната среда. Тези данни не са достъпни от вътрешната мрежа. Организациите трябва да разполагат с човешки и финансови ресурси, за да намерят и управляват тази информация. Алтернативно тази дейност може да бъде възложена на външни специалисти, които да наблюдават пейзажа на заплахите от името на организацията.

Познаването на уязвимостите, които се експлоатират активно, е задължително, тъй като те представляват по-висок риск за компанията. Тези активно експлоатирани уязвимости могат да бъдат проследени благодарение на възможностите за разузнаване на заплахите, съчетани с данни за уязвимостите. За да имате най-ефективни резултати, още по-добре е да умножите източниците на разузнаване на заплахите и да ги корелирате. Разбирането на активността на нападателите също е ценно, тъй като помага за предвиждането на потенциални заплахи. Например: разузнавателна информация, отнасяща се до нов нулев ден или нова атака с рансъмуер, може да бъде използвана своевременно, за да се предотврати инцидент със сигурността.

Комбинирането и разбирането на двете среди ще помогне на организациите да определят реалния си риск и да определят по-ефективно къде трябва да се прилагат превантивни и коригиращи действия. Не е необходимо да се прилагат стотици кръпки, а по-скоро десет от тях, подбрани, които драстично ще намалят повърхността на атака на организацията.

Пет ключови стъпки за внедряване на програма за управление на уязвимостта, основана на риска

• Идентифициране: Идентифициране на всички ваши активи, за да откриете повърхността на атака: сканирането за откриване може да ви помогне да направите първия преглед. След това стартирайте редовни сканирания на вашата вътрешна и външна среда и споделяйте резултатите с платформата за разузнаване на уязвимостите.
• Контекстуализация: Конфигурирайте бизнес контекста, както и критичността на активите си в платформата Vulnerability Intelligence. След това резултатите от сканирането ще бъдат контекстуализирани със специфична оценка на риска за всеки актив.
• Обогатяване: Резултатите от сканирането трябва да бъдат обогатени с помощта на допълнителни източници, предоставени от платформата Vulnerability Intelligence Platform, като например разузнавателни данни за заплахите и активността на атакуващите, които ще помогнат за определяне на приоритетите, като се има предвид средата на заплахите.
• Отстраняване: Благодарение на оценката на риска, дадена за всяка уязвимост, която може да бъде съпоставена с критерии от разузнаването на заплахите, като например „лесно използваем“, „експлоатиран в дивата природа“ или „широко използван“, ефективното определяне на приоритетите за отстраняване на нередности е много по-лесно.
• Оценка: Наблюдавайте и измервайте напредъка на програмата си за управление на уязвимостите с помощта на ключови показатели за ефективност и персонализирани информационни табла и отчети. Това е процес на непрекъснато усъвършенстване!

Това е история от фронта на бойните действия, която се намира в доклада Security Navigator 2023. Повече за уязвимостите и други интересни неща, включително анализ на зловреден софтуер и киберизнудване, както и тонове факти и цифри за средата на сигурност, можете да намерите в пълния доклад. Можете да изтеглите доклада от над 120 страници безплатно от уебсайта Orange Cyberdefense. Затова погледнете, заслужава си!