По итогам 2023 года был зафиксирован новый рекорд — почти 29 000 зарегистрированных уязвимостей, имеющих свой номер в базе CVE. Это практически на 4000 уязвимостей больше, чем в прошлом году, и число это с каждым годом лишь увеличивается. При этом считается, что на одну зарегистрированную в базе CVE уязвимость приходится не менее трех незарегистрированных — это делает процесс управления уязвимостями крайне сложным для компаний.
Согласно отчету Edgescan, среднее время устранения критически опасных уязвимостей в 2022 году составляло 65 дней (Infosec Institute указывает 60–150 дней), а время начала их эксплуатации, по данным американской CISA, составляет в среднем 15 дней после обнаружения. По данным аналитиков Rapid7, в 2022 году киберпреступники разрабатывали эксплойты быстрее, чем когда-либо: 56% уязвимостей начинали эксплуатироваться в течение семи дней после публичного раскрытия; этот показатель на 12% больше, чем в 2021 году, и на 87% больше, чем в 2020-м. По данным же Palo Alto Networks, в 2022 году злоумышленники начинали сканирование на наличие уязвимостей в течение первых 15 минут после публикации информации в базе CVE. Получается, что устранение уязвимостей осуществляется гораздо позже, чем эти уязвимости начинают использовать атакующие.
Одна из причин промедления — отсутствие выстроенного процесса приоритизации уязвимостей. Когда их всего несколько десятков или даже сотен в год, можно попробовать устранить их все по мере выявления. Но такой подход дает сбой, когда у вас двадцать пять тысяч уязвимостей. По данным Positive Technologies, в 2022–2023 годах 24% компаний не учитывали значимость актива, на котором обнаружена уязвимость. Большинство компаний не принимали во внимание уровень опасности уязвимости (76%), ее трендовость и наличие публичного эксплойта (59%). Это повышает риск пропустить наиболее опасную для инфраструктуры уязвимость. Что же делать?
Для портала «Резбез» я написал большой материал, в котором рассмотрел различные подходы к приоритизации уязвимостей. Все методы, рассмотренные в материалы, разбиты на 3 группы: зарубежные, российские и проприетарные / закрытые. Сразу надо сказать, что я не рекомендовал какой-либо один, единственно верный метод приоритизации, — хотя бы потому, что его нет. У каждого из описанных вариантов — свои преимущества и свои недостатки, своя область применения. Некоторые из них зависят от используемого вами решения по анализу защищенности. Поэтому выбор за вами!
Сообщения блогов группы “Личные блоги” (www.securitylab.ru)
Уязвимости из каталога CISA Known Exploited Vulnerabilities надо устранять как можно скорее, остальные – по мере возможности.
На портале InfoSecPortal.ru все новые уязвимости CISA KEV публикуются в разделе Уязвимости.