Подробный разбор: PDF, зеркало PDF
Основное внимание в документе “Health-ISAC: Risk-Based Approach to Vulnerability Prioritization” уделяется подаче более тонкого и риск-ориентированного подхода к бесполезно-полезной задаче управления уязвимостями. И всё это в мире, где количество уязвимостей настолько велико, что это может довести любого, кто попытается их все исправить, до нервного срыва. Решение видится “радикальным” и инновационным — расставлять приоритеты на основе реального риска, а не просто бегать, как безголовый всадник, пытаясь справиться с оценкой CVSS.
В документе признается абсурдность традиционного подхода “это надо было исправить ещё вчера”, учитывая, что только 2–7% опубликованных уязвимостей когда-либо эксплуатировались. По сути, документ представляет собой призыв к организациям принять более стратегический, целенаправленный подход, учитывающий такие факторы, как фактическая возможность использования уязвимости, стоимость активов, подверженных риску, и то, находится ли уязвимый объект в Интернете или скрывается за уровнями контроля безопасности. Документ в очередной раз пытается продать идею работать умнее, а не усерднее.
Итак, давайте погрузимся в захватывающий мир управления уязвимостями. Если вы молодая организация, у вас может возникнуть соблазн устранить все критические и близкие к ним уязвимости с помощью системы оценки в выбранном инструменте сканирования. Это все равно что пытаться купить весь фондовый рынок в попытке диверсифицироваться.
Не всегда требуется пользоваться самыми критичными уязвимостями; вместо этого набор из менее критичных уязвимостей могут объединить в цепочку эксплойтов, чтобы получить доступ к системам.
Документ напоминает, что также необходимо учитывать сетевое расположение “активов”. Уязвимости и неправильные настройки всегда должны быть в приоритете, иначе вашей компании стоит обратиться к дизайнерам за неоновой вывеской приглашающей зайти в клуб повеселиться.
Также не будем забывать об игре в “Монополию”, т.е. о стоимости активов, только вместо собственности вы имеете дело с активами организации. Если устройство, имеющее первостепенное значение для функционирования бизнеса или содержащее критически важную информацию, будет скомпрометировано, вас мало будут беспокоить остальное (поэтому уберите бутылку виски с кнопки DELETE).
В то же время, важно думать о снижении риска в случае применения уязвимости. В идеале — уязвимость должна сработать в песочнице и не оказать никакого эффекта на другие узлы и устройства. Так что нанимайте серьёзных ребят, которые будут яростно выкидывать сервера из окон в качестве упреждающих мер.
Наконец, есть система оценки прогнозирования эксплойтов (EPSS) и классификация уязвимостей для конкретных заинтересованных сторон (SSVC). EPSS подобен хрустальному шару, предсказывающему вероятность того, что уязвимость будет использована в реальности. SSVC, с другой стороны, подобен персонализированной дорожной карте, ориентированной на ценности, включая статус использования уязвимости в системе безопасности, её влияние на неё и распространённость затронутых продуктов.
Такой подход позволяет высвободить больше времени и на другие задачи и проблемы организации ну, или же, весело провести время на американских горках.