Почему вы должны использовать каталог эксплуатируемых уязвимостей CISA


Агентство кибербезопасности и безопасности инфраструктуры (CISA) недавно выпустило Обязательную директиву об операциях 22-01, направленную на снижение риска, связанного с активно используемыми уязвимостями. Директива сопровождалась каталогом известных эксплуатируемых уязвимостей, поддерживаемым CISA, который включает обязательные сроки устранения. По сути, это означает «исправить это быстро или иначе» для соответствующих агентств и организаций.

Я думаю, что это умный шаг в правильном направлении со стороны CISA. Я объясню почему с помощью некоторых статистических данных и диаграмм из недавнего исследования Института Сиентии.

Диаграмма из нашего совместного с Kenna Safety исследования «Приоритизация для прогнозирования» демонстрирует, почему CISA считала, что такая директива необходима. Количество уязвимостей, о которых сообщалось публично и которые были включены в список CVE Listing, за последние годы резко возросло. 2021 год еще не закончился, когда мы создали эту диаграмму, поэтому она не показывает, что в прошлом году было впервые опубликовано 20 000 уязвимостей!

Таблица CVE публикуется ежегодно
Рисунок 1. Количество уязвимостей, ежегодно добавляемых в список CVE, с долей наблюдаемых и эксплуатируемых. Источник: «Приоритет прогнозирования, том 8».

Некоторые из этой растущей волны уязвимостей связаны с тенденцией, популяризированной как ПО пожирает мир. Частично это связано с трудностями написания безопасного кода для всего этого программного обеспечения. Но основной причиной всплеска уязвимостей примерно в 2017 году является лучшая отчетность через постоянно растущий список Центры нумерации CVE. Независимо от причин, практический результат заключается в том, что программы безопасности перегружены постоянным потоком уязвимостей, которые необходимо оценивать и устранять.

К сожалению, многие тонут в этом потоке. Согласно приведенному ниже рисунку, опять же из «Приоритизации для прогнозирования, том 8», большинство организаций ежемесячно устраняют менее четверти уязвимостей в своей среде. Если не возникнет новых уязвимостей, они в конечном итоге наверстают упущенное. Но взгляд на рис. 1 напоминает нам, что уставшим в управлении уязвимостями нет покоя.

Диаграмма, показывающая распределение возможностей устранения уязвимостей между организациями
Рисунок 2: Распределение возможностей устранения уязвимостей между организациями. Источник: «Приоритет прогнозирования, том 8».

Единственная передышка, предлагаемая в данных, которые мы анализировали на протяжении многих лет, заключается в том, что организациям не нужно исправлять все своих уязвимых мест. Им просто нужно исправить те, которые представляют реальную опасность. Но сколько это?

Возможно, вы заметили сегменты разного цвета на рисунке 1. Высота каждого столбца соответствует количеству опубликованных уязвимостей. Светло-синий цвет представляет долю опубликованных CVE, наблюдаемых в производственных активах, управляемых сотнями изученных нами организаций. Красной частью отмечены уязвимости с известным кодом эксплойта или активные эксплойты в дикой природе (так называемые «высокий риск»). Поскольку возможности исправления ограничены в соответствии с рис. 2, не имеет ли смысл сначала исправить красные (эксплуатируемые)?

Я тоже так думаю. И именно поэтому я сказал ранее, что CISA сделала умный ход с BD 22-01. Каталог уязвимостей, которые необходимо исправить CISA, не претендует (и не должен) быть исчерпывающим. Основное внимание уделяется тем, «которые несут значительный риск». На момент написания статьи каталог содержит 377 эксплуатируемых уязвимостей. Это составляет крошечную долю (0,22%) из ~170 000 уязвимостей, опубликованных в списке CVE. Это слишком мало? Очень много? На месте? Что ж, давайте начнем с более простого вопроса: представляет ли он все эксплуатируемые уязвимости?

Это жесткое нет. В предыдущем томе «Приоритизация для прогнозирования» было обнаружено, что эксплуатация нацелена на 2,5% всех опубликованных CVE. Исходя из этого соотношения, каталог должен быть более чем в 10 раз больше своего текущего размера. Однако, прежде чем осуждать каталог, имейте в виду, что эксплуатация «в дикой природе» не приравнивается к широкомасштабным атакам, нацеленным на большое количество организаций. Последняя диаграмма должна помочь прояснить это и предоставить некоторую полезную статистику о распространенности эксплуатации.

Диаграмма, показывающая распространенность использования опубликованных CVE в дикой природе.
Рисунок 3: Распространенность эксплойтов в дикой природе, нацеленных на опубликованные CVE. Источник: «Приоритизация прогнозирования, том 6».

В качестве аргумента предположим, что любая уязвимость, регистрирующая попытки эксплойта не менее чем в 1% организаций, представляет значительный риск для вашей фирмы. Согласно рисунку 3, около 6% эксплуатируемых CVE пересекают этот порог.

Теперь немного арифметической математики: если 2,5 % CVE используются в дикой природе и 6 % из них превышают порог риска, то 0,15 % (2,5 % x 6 %) представляют значительный риск для нашей организации. Это очень близко (и ниже) процента (0,22%) CVE в каталоге CISA. И самое главное — и обнадеживающее — это намного меньше, чем обычные возможности исправления (~ 15%) большинства организаций.

Таким образом, все сводится к способности организации выявлять наиболее рискованные уязвимости и приоритизировать их. Является ли каталог CISA единственным способом избежать эксплуатации? Нет. Но это отличная отправная точка для организаций, которые хотят оседлать волну управления уязвимостями на основе рисков, а не утонуть в ней.

https://cyberxhack.org/