Что такое Risk-Based Vulnerability Management?

Августовский пакет обновлений от Microsoft включал в себя патчи для 89 новых уязвимостей в различном ПО, разработанном компанией. Значительная часть этих уязвимостей имеет "высокий" или "критический" уровень опасности. И это только за месяц и лишь от одного вендора, пусть и крупнейшего.

Такое число опасных уязвимостей ставит перед специалистами по кибербезопасности проблему приоритизации обновлений, ведь заниматься всем и сразу невозможно. Во-первых, на это банально не хватит человеческих ресурсов. Во-вторых, установка обновлений нередко требует полной перезагрузки системы и остановки важных рабочих процессов.

При этом оставлять инфраструктуру компании незащищенной перед потенциальной угрозой — не выход. Поэтому сегодня мы поговорим о более эффективном подходе к приоритизации обновлений, который называется Risk-Based Vulnerability Management. Он учитывает не только рейтинг уязвимостей, но также принимает в расчет и другие факторы, позволяющие оценить риски для кибербезопасности организации и приоритизировать обновления согласно им.

Традиционный Vulnerability Management (управление уязвимостями) — это процесс выявления, оценки опасности и устранения уязвимостей в программном обеспечении и компьютерных системах. Этот подход предполагает постоянное сканирование ИТ-активов на предмет уязвимостей. После их выявления оценка опасности и приоритизация обновлений обычно происходит на основе рейтинга уязвимости по шкале CVSS. Принцип тут очень простой: чем выше рейтинг, тем быстрее надо закрыть уязвимость.

Какое-то время назад подобный подход мог обеспечивать кибербезопасность организации. Однако сейчас, с постоянно растущим количеством уязвимостей с высоким и критическим рейтингом, такой способ приоритизации не дает адекватную оценку рисков, которые представляет та или иная уязвимость для организации.

Это лучше всего проиллюстрировать цифрами. Ниже на графике представлена динамика роста количества обнаруженных уязвимостей с рейтингом 7.0–10.0 по шкале CVSS за последние 25 лет. Легко заметить, что в последнее десятилетие этот рост был крайне значительным: если за 2013 год было обнаружено менее 2 тыс. опасных уязвимостей, то в 2023 году — уже 16 тыс.

Вторая проблема, с которой не умеет справляться традиционный Vulnerability Management, — постоянное разрастание внешних активов (external assets) компании. То есть различных компонентов цифровой инфраструктуры компании, которые доступны из интернета и могут быть атакованы снаружи.

С этими компонентами обычно ассоциируются многочисленные внешние IP-адреса, домены, субдомены, открытые порты, SSL-сертификаты и так далее — большое цифровое хозяйство, за которым необходимо тщательно присматривать. Современная реальность такова, что значительная часть этих активов — это облачные приложения и интегрированные в инфраструктуру компании сторонние сервисы. Подобные ресурсы невозможно контролировать теми же методами и инструментами, что и локальную (on-premise) инфраструктуру компании.

При этом во всех этих активах могут быть — и скорее всего будут — обнаружены уязвимости. Однако не обо всех из них становится известно специалистам, обеспечивающим кибербезопасность компании. Проблема в том, что традиционный метод Vulnerability Management не включает шаг по обнаружению внешних активов. В результате может получиться так, что кибербезопасники остаются слепы к уязвимостям во внешних активах, которые при этом являются важной частью цифровой инфраструктуры компании — ведь они банально о них не знают.

Risk-Based Vulnerability Management или RBVM (управление уязвимостями на основе оценки рисков) — это более современный метод, который решает обе описанные выше проблемы. Это процесс приоритизации устранения уязвимостей на основе рисков, которые они представляют для организации. Обычно он включает следующие этапы:

• Инвентаризация активов, как внутренних, так и внешних;
  
  
• Выявление уязвимостей во внешних и внутренних активах;
  
  
• Оценка рисков, которая исходит из особенностей работы конкретной организации;
  
  
• Расстановка приоритетов на основе полученной оценки;
  
  
• Устранение уязвимостей, имеющих максимальный приоритет.
  
  

Главное отличие RBVM от традиционного Vulnerability Management состоит в оценке рисков и приоритизации устранения уязвимостей в соответствии с этой оценкой. Это позволяет специалистам по кибербезопасности сконцентрироваться на тех уязвимостях, которые наиболее критичны для бизнеса, а не на тех, у которых самый "страшный" рейтинг.

В результате сотрудники ИБ-отдела могут более эффективно распределять ресурсы и минимизировать возможности для атаки там, где она нанесет наибольший ущерб, а также обеспечить соответствие всем регуляторным нормам и требованиям.

Инвентаризация активов компании в качестве первого этапа дает возможность специалистам по кибербезопасности выявить неизвестные внешние ресурсы. Благодаря этому все дальнейшие шаги учитывают, как внутреннюю инфраструктуру организации, так и внешний периметр. В результате поиск уязвимостей и оценка рисков, которые они представляют для компании, происходит не только «под фонарем», а везде, где это важно для бизнеса.

После выявления уязвимостей во всех внешних активах компании Risk-Based Vulnerability Management предполагает оценку риска, который каждая из них представляет. Эта оценка может основываться на нескольких факторах. Главные из них:

• Сколько баллов имеет уязвимость в рейтинге CVSS?
  
  
• Насколько критичен уязвимый актив для деятельности организации?
  
  
• Какова вероятность эксплуатации уязвимости?
  
  
• Как действия, связанные с устранением уязвимости, повлияют на бизнес-процессы?

Прежде всего необходимо оценить CVSS рейтинг — этот шаг соответствует классическому Vulnerability Management. И здесь стоит отметить, что RBVM не отрицает важность этой шкалы, однако дополняет ее другими параметрами для комплексной оценки риска, которые учитывают индивидуальные особенности конкретной компании.

Следующим важным факторов является значение, которое уязвимый ресурс имеет для деятельности организации. Идея тут проста: если компрометация актива приведет к остановке важных бизнес-процессов, утечке данных пользователей или сотрудников, серьезным финансовым потерям и так далее, то на уязвимости в нем стоит обратить внимание в первую очередь, даже при сравнительно невысоком рейтинге CVSS.

Далеко не для каждой серьезной уязвимости существует рабочий эксплойт. Поэтому для определения вероятности эксплуатации уязвимости стоит учитывать, собственно, наличие таких эксплойтов, их использование в реальных атаках и популярность среди атакующих. Информацию об этом специалистам по кибербезопасности могут дать сервисы, собирающие разведданные об угрозах.

Последний фактор — влияние связанных с устранением уязвимости действий на бизнес-процессы. Конечно же при принятии решения о приоритетности устранения той или иной уязвимости следует иметь в виду потенциальные простои и необходимость перезапуска некоторых систем для установки обновлений.

Платформа CICADA8 от Future Crew позволяет автоматизировать процесс Risk-Based Vulnerability Management:

• CICADA8 автоматически сканирует внешний периметр заказчика для обнаружения внешних активов и уязвимостей в них. Это дает возможность провести полную инвентаризацию активов и составить комплексную картину об инфраструктуре компании.
  
  
• Дополнительный сервис экспертной оценки помогает определить уровень риска, который представляют обнаруженные уязвимости. Это позволит сотрудникам ИБ отдела организации правильно приоритезировать работу с уязвимостями.
  
  
• Помимо этого, специалисты из CICADA8 предлагают компенсирующие меры для митигации уязвимостей и обеспечения безопасности компании.
  
  
• Также эксперты CICADA8 производят мониторинг процесса устранения уязвимости, проверяя, действительно ли уязвимость закрыта и более не опасна.

В результате при использовании CICADA8 организация получает готовый эффективный бизнес-процесс управления уязвимостями внешнего периметра, который соответствует требованиям законодательства по анализу защищенности.