Давайте поговорим о таком процессе как управление уязвимостями и их приоритизации. По данным сайта
Конечно же, поставить патчи и тем самым защититься от всех уязвимостей сразу в рамках большой организации не получится. Именно поэтому имеются различные методики приоритизации уязвимостей, с помощью которых их можно разбить на различные уровни критичности, тем самым выявив наиболее опасные. Давайте поскорее познакомимся с некоторыми их существующих стандартов.
1. CVSS (Common Vulnerability Scoring System) – открытый и наверное самый распространенный стандарт оценки уязвимостей. Он используется для оценки опасности уязвимостей и присвоения им числового значения от 0 до 10, которое отражает их критичность.
CVSS состоит из трех групп метрик:
Существует несколько версий данного стандарта, самым последним является
Все эти нововведения не сделали CVSS более практичным, так как в большинстве своём в открытом доступе, например на портале NVD, публикуются уровень критичности уязвимости исходя из её базовых метрик, а все остальные метрики необходимо рассчитывать самому, что в стандарте 4.0 стало сделать заметно сложнее.
2. Система EPSS (Exploit Prediction Scoring System) - система оценки, предназначенная для предсказания вероятности того, что уязвимость будет использована в реальных атаках. Модель EPSS, разработанная организацией First.org, даёт вероятностную оценку от 0 до 1. Чем выше эта оценка, тем больше вероятность эксплуатации уязвимостей в течение ближайших 30 дней.
EPSS использует методы машинного обучения и анализ больших данных для предсказания вероятности эксплуатации уязвимостей. EPSS может дополнить CVSS, что позволит более точно определить приоритеты для устранения уязвимостей. Из недостатков можно отметить, что не учитывается специфические контекстные факторы, может быть не очень точна для новых уязвимостей, зависимость от данных.
Произвести подсчет EPSS для конкретной CVE можно
3. Система SSVC (Stakeholder-Specific Vulnerability Categorization) от CISA - в отличие от CVSS, который оценивает техническую серьезность уязвимости, SSVC фокусируется на том, как организация должна реагировать на уязвимость, учитывая её контекст и влияние на конкретные бизнес-процессы.
Система использует дерево решений, которое помогает классифицировать уязвимости на основе четырех ключевых факторов: Exploitation Status, Technical Impact, Public Well-being, Automatable, Mission Prevalence. На основе этих данные стандарт советует предпринять одно из четырех действий:
4. Система SSVC от Института Карнеги-Меллона – разновидность описанного выше стандарта с новыми точками принятия решений, а именно:
5. Система VISS (Vulnerability Impact Scoring System) – разработана компанией Zoom и представляет из себя 100 бальную систему оценки, рассчитанную на основании 13 метрик, разделенных на 3 группы:
6. Система SSPP (Stakeholder-Specific Patching Prioritization) - предлагает фокусироваться на процессе управления патчами в организации, для чего необходимо приоритизировать все устанавливаемое или обновляемое ПО по 4 критериям, оформленных в виде дерева принятия решений:
Мы рассмотрели только некоторые открытые стандарты, существует также большое количество закрытых методик, например TruRisk, VPR, ESS и т.д.
Таким образом, если по каким-то причинам вам не подходят отдельно взятые существующие стандарты, можно брать и выделять из понравившейся методики необходимые вам метрики и создавать на основе этого собственные кастомные стандарты!
Ссылка скрыта от гостей
только за 2024 год было найдено и зарегистрировано порядка 29 000 новых CVE, а ведь существуют также уязвимости, которым не присвоили идентификатор и их тоже немало.
Конечно же, поставить патчи и тем самым защититься от всех уязвимостей сразу в рамках большой организации не получится. Именно поэтому имеются различные методики приоритизации уязвимостей, с помощью которых их можно разбить на различные уровни критичности, тем самым выявив наиболее опасные. Давайте поскорее познакомимся с некоторыми их существующих стандартов.
1. CVSS (Common Vulnerability Scoring System) – открытый и наверное самый распространенный стандарт оценки уязвимостей. Он используется для оценки опасности уязвимостей и присвоения им числового значения от 0 до 10, которое отражает их критичность.
CVSS состоит из трех групп метрик:
- Базовые метрики (Base Metrics) - Оценивают характеристики уязвимости, которые не меняются со временем и не зависят от среды (вектор атаки, сложность, права, необходимые злоумышленнику для эксплуатации уязвимости, влияние на конфиденциальность, целостность и доступность, взаимодействие с пользователем).
- Временные метрики (Temporal Metrics) - Оценивают факторы, которые могут меняться со временем (появление эксплойтов, степень исправления, уровень уверенности информации).
- Контекстные метрики (Environmental Metrics) - Учитывают особенности конкретной среды, где используется система (важность затронутых систем).
Ссылка скрыта от гостей
можно самостоятельно познакомится со всеми метриками и определить степень опасности уязвимости в онлайн калькуляторе. На скрине можно увидеть полученный вектор и оценку уровня опасности уязвимости.
Существует несколько версий данного стандарта, самым последним является
Ссылка скрыта от гостей
. В него были добавлена более детальная оценка взаимодействия с пользователем, упрощена метрика угроз, новые базовые метрики для оценки области воздействия и новая группа дополнительных метрик.Все эти нововведения не сделали CVSS более практичным, так как в большинстве своём в открытом доступе, например на портале NVD, публикуются уровень критичности уязвимости исходя из её базовых метрик, а все остальные метрики необходимо рассчитывать самому, что в стандарте 4.0 стало сделать заметно сложнее.
2. Система EPSS (Exploit Prediction Scoring System) - система оценки, предназначенная для предсказания вероятности того, что уязвимость будет использована в реальных атаках. Модель EPSS, разработанная организацией First.org, даёт вероятностную оценку от 0 до 1. Чем выше эта оценка, тем больше вероятность эксплуатации уязвимостей в течение ближайших 30 дней.
EPSS использует методы машинного обучения и анализ больших данных для предсказания вероятности эксплуатации уязвимостей. EPSS может дополнить CVSS, что позволит более точно определить приоритеты для устранения уязвимостей. Из недостатков можно отметить, что не учитывается специфические контекстные факторы, может быть не очень точна для новых уязвимостей, зависимость от данных.
Произвести подсчет EPSS для конкретной CVE можно
Ссылка скрыта от гостей
3. Система SSVC (Stakeholder-Specific Vulnerability Categorization) от CISA - в отличие от CVSS, который оценивает техническую серьезность уязвимости, SSVC фокусируется на том, как организация должна реагировать на уязвимость, учитывая её контекст и влияние на конкретные бизнес-процессы.
Система использует дерево решений, которое помогает классифицировать уязвимости на основе четырех ключевых факторов: Exploitation Status, Technical Impact, Public Well-being, Automatable, Mission Prevalence. На основе этих данные стандарт советует предпринять одно из четырех действий:
- Track —просто отслеживать уязвимость и повторно оценить ее при получении новых данных.
- Track* —более пристальное влияние за уязвимостью, если она обладает рядом специфических характеристик. Устранение уязвимости — в рамках стандартного времени на обновление.
- Attend — требует внимания и может потребовать дополнительного исследования. Устранение уязвимости должно быть произведено быстрее стандартного времени обновления.
- Act — требует немедленных действий и должна быть устранена как можно скорее.
4. Система SSVC от Института Карнеги-Меллона – разновидность описанного выше стандарта с новыми точками принятия решений, а именно:
- Utility — преимущества, которые получает злоумышленник от эксплуатации уязвимости.
- Value density — какие ресурсы получит злоумышленник в случае эксплуатации уязвимости.
- Public safety impact, situated safety impact, human impact — расширяют понятие public well-being impact из первой версии SSVC.
- System exposure — доступность системы для атаки.
5. Система VISS (Vulnerability Impact Scoring System) – разработана компанией Zoom и представляет из себя 100 бальную систему оценки, рассчитанную на основании 13 метрик, разделенных на 3 группы:
- воздействие на платформу: влияние на конфиденциальность, целостность, доступность
- воздействие на зоны или сегменты инфраструктуры
- воздействие на данные
- две метрики не входящие в эти группы: тип платформы подверженной уязвимости, наличие компенсирующих мер
Ссылка скрыта от гостей
можно самостоятельно рассчитать уровень опасности для любой уязвимости по системе VISS.
6. Система SSPP (Stakeholder-Specific Patching Prioritization) - предлагает фокусироваться на процессе управления патчами в организации, для чего необходимо приоритизировать все устанавливаемое или обновляемое ПО по 4 критериям, оформленных в виде дерева принятия решений:
- Attack history — были ли реальные атаки, использующие уязвимости в данном ПО
- Exploit history — были ли опубликованы эксплойты, позволяющие проэксплуатировать уязвимости в данном ПО
- Vulnerability history — есть ли информация об уязвимостях в данном ПО
- Current exposure — участвует ли данное ПО в процессе обработки данных.
Мы рассмотрели только некоторые открытые стандарты, существует также большое количество закрытых методик, например TruRisk, VPR, ESS и т.д.
Таким образом, если по каким-то причинам вам не подходят отдельно взятые существующие стандарты, можно брать и выделять из понравившейся методики необходимые вам метрики и создавать на основе этого собственные кастомные стандарты!
