31 000 уязвимостей на один пилотный проект: о чем говорят результаты сканирования MaxPatrol VM

17.01.2022

Эксперты Positive Technologies рассказали, какие факторы влияют на значимость уязвимостей, почему нужно быстро устранить трендовую уязвимость, если такая была обнаружена в системе, в чем ошибка компаний при определении угроз и как можно оптимизировать процесс приоритизации уязвимостей.

Специалисты Positive Technologies проанализировали данные, полученные в рамках пилотных проектов MaxPatrol VM в 2021 году, по результатам которых было просканировано более 15000 сетевых узлов в инфраструктурах госучреждений, учреждений науки и образования, финансовых организаций и телекоммуникационных компаний.

В ходе сканирований в среднем в рамках одного пилотного проекта было выявлено 31 066 уязвимостей, при этом критически опасные уязвимости были обнаружены на всех пилотных проектах. В среднем, более 800 уязвимостей в инфраструктуре компаний являются крайне опасными, такие уязвимости Positive Technologies называет трендовыми (которые активно используются в атаках или с высокой степенью вероятности будут применяться в ближайшее время), требующими первоочередных действий по устранению.

Эксперты Positive Technologies подчеркивают необходимость приоритизации уязвимостей по степени их влияния на реализацию недопустимых для компаний событий, поскольку далеко не все уязвимости, даже обладающие критическим и высоким риском, могут негативно повлиять на наиболее ценные активы компании.

«На наш взгляд, есть две группы факторов, которые влияют на приоритет устранения уязвимости: значимость и доступность для злоумышленника актива, на котором обнаружена уязвимость, и степень опасности самой уязвимости – высокая вероятность того, что злоумышленник ее проэксплуатирует. Нередко специалисты по безопасности забывают про первую группу факторов и руководствуются только второй. Например, по результатам нашего опроса оказалось, что 29% респондентов приоритизируют обнаруженные уязвимости только по типу, базовой оценке CVSS и наличию эксплойта. Однако, мы считаем, что нельзя пренебрегать ни одной группой факторов», -- комментирует аналитик компании Positive Technologies Яна Юракова.

По мнению экспертов Positive Technologies, прежде чем переходить к процессу выявления уязвимостей, необходимо убедиться, что сканирование узлов выполняется правильно. Процесс vulnerability management должен охватывать всю IT-инфраструктуру компании, то есть необходимо проверить, что все активы идентифицированы, а в случае появления новых узлов или вывода из эксплуатации систем, перечень узлов для сканирования будет обновлен. В противном случае, может произойти ситуация, когда важный актив, например, сервер 1С или контроллер домена не попадает в область сканирования.

Для этого предлагается последовательно осуществить следующие шаги:

1) определить, какие события могут нанести компании недопустимый ущерб, выявить ключевые и целевые системы, и разметить активы по степени значимости;

2) провести оценку последствий использования уязвимости. Для этого нужно понять, что удастся сделать злоумышленнику в результате ее эксплуатации;

3) ранжировать уязвимости по наличию публичного эксплойта или PoC;

4) определите доступность системы и привилегии злоумышленника, который может потенциально использовать уязвимость;

5) определить уровень опасности уязвимости по базовой оценке CVSS.

Этот подход будет актуален, если компания хочет построить результативную систему безопасности.

В компании Positive Technologies считают, что применение этого подхода позволит в первую очередь устранять самые опасные уязвимости на действительно критичных активах, и только тогда, когда самые важные системы будут защищены, можно будет перейти к устранению уязвимостей на менее значимых активах, используя тот же принцип.

Пресс-служба Positive Technologies

Тема:Аналитика