Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Представлена система оценки вероятности использования уязвимостей в реальных атаках

13/08/19

hack19-2Как известно, неуязвимых систем не бывает. Ежегодно идентификаторы CVE присваиваются тысячам обнаруженных уязвимостей, и следить за каждой новой практически не реально. Как понять, какие из них компаниям следует исправлять в первую очередь, а с какими можно повременить, пытались разобраться специалисты на конференции Black Hat USA, проходившей на прошлой неделе в Лас-Вегасе.

Эксперты компании Kenna Security Майкл Ройтман (Michael Roytman) и компании Cyentia Institute Джей Джейкобс (Jay Jacobs) назвали управление уязвимостями «злостной проблемой», поскольку оно не соизмеримо с количеством обнаруживаемых уязвимостей. По их словам, каждый месяц исправляется всего 10% от всех уязвимостей. Их слишком много, чтобы компании могли исправить все, поэтому необходимо разработать стратегию, которая решила бы эту проблему, считают специалисты.

Новая стратегия должна помочь организациям разобраться, какие уязвимости действительно необходимо исправлять. Теоретически, в этом должна помочь система оценки CVSS – чем выше оценка, тем серьезнее проблема. Тем не менее, все уязвимости, получившие 7 и выше баллов согласно CVSS, считаются критическими. Таких «критических» уязвимостей все равно слишком много и понять, какие из них должны быть в приоритете, невозможно. «CVSS просто DoS-ит ваши политики установки патчей и заставляет бросать деньги на ветер», - отметили Ройтман и Джейкобс.

По словам исследователей, только 2-5% от всех критических уязвимостей действительно эксплуатируются в реальных атаках. Поэтому нужно создать систему оценки опасности уязвимостей, которая принимала бы в учет потенциальную возможность их эксплуатации на практике.

Такой системой может стать Exploit Prediction Scoring System (EPSS), представленная Ройтманом и Джейкобсом на Black Hat USA. Для определения возможности реальной эксплуатации уязвимости EPSS использует более десятка критериев. Сюда входит CVE, оценка CVSS, наличие PoC-эксплоитов и эксплоитов, используемых киберпреступниками, операционная система, вендор и прочие переменные. Учтя все вышеперечисленные критерии, EPSS выдает процент вероятности эксплуатации той или иной уязвимости в реальных атаках.

Исследователи выпустят свою систему в виде как алгоритма для реализации в других продуктах, так и online-калькулятора .

Темы:КиберзащитаОтрасльуязвимости
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...