Достовірні спеціалісти: «Не всі вразливості становлять загрозу – організації повинні зосередитися на основних вразливостях».
Комп’ютерні мережі організацій постійно розширюються: IT, хмара, IoT та OT утворюють складний обчислювальний ландшафт, який представляє сучасну поверхню для атак. Ця поверхня атаки збільшується з кожним новим пристроєм, підключенням або програмою. Додайте до цієї складності безліч вразливостей, які виявляються щодня, і виклики часто здаються непереборними. Однак рішення відносно просте – командам безпеки потрібна видимість, щоб зрозуміти ризики.
Більше уваги приділяйте слабким сторонам, які перебувають під загрозою зникнення
Незалежно від розміру організації, навіть із великою ІТ-командою та значними фінансовими інвестиціями, усунення кожної вразливості вимагає багато часу. Замість того, щоб зупинятися на вразливостях, які не призначені для атаки, організації можуть відкласти тисячі вразливостей, щоб зосередитися на тих, які становлять реальну загрозу.
Перевантаження вразливості
Коли мова заходить про керування вразливими місцями, часто задають питання: скільки вразливостей може виправити один експерт із безпеки на день? В тиждень? На місяць? Таймер запускається, коли менеджер безпеки дізнається про це після того, як CVE (Common Vulnerabilities and Exposures) розкриє вразливість. Маючи цю обмежену інформацію, починається гонка, щоб визначити, чи існує вразливість у мережі та які системи, пристрої чи програми зачеплені, ще до того, як розпочати виправлення.
Ідентифікатор CVE лише інформує дослідників безпеки про те, що вразливість існує – і все. Для того, щоб визначити реальний ризик, необхідні подальші масштабні дослідження численних публічних джерел. Вони детально описують характеристики вразливості та функцію, яку вона виконує в поточній та минулій поширеності. Цей процес має залучати додаткові джерела, такі як публікації в соціальних мережах, блоги та навіть темні форуми.
Більшість атак на організації не фінансуються урядом або є особливо витонченими. Проблема полягає в відомих, але ще не виправлених уразливостях. Неможливо виправити всі вразливості, тому проблема полягає в тому, щоб знати, що є реальним ризиком, а що є лише теоретичним ризиком.
Виправте ризик
За даними Tenable Research (Постійні вразливості: причини та перспективи) лише 20% вразливостей використовуються, і хакери використовують лише незначну їх частину. Служби безпеки можуть використовувати це на свою користь. Дослідження Tenable також виявило, що менше 6% організацій ефективно усувають вразливості. Багато організацій не оновлюють свої процеси безпеки, і їм доводиться намагатися виправити недоліки, які, можливо, ніколи не будуть використані, або в областях, які не становлять реального ризику.
Управління вразливістю на основі ризиків (RBVM) виходить за рамки базової оцінки загальної системи оцінки вразливостей (CVSS). Це дозволяє командам із безпеки враховувати контекстуальні елементи, як-от критичність ураженої системи чи пристрою, у поєднанні з постійно оновлюваними даними про загрози та технологіями прогнозування. Це дозволяє організаціям ефективно виявляти вразливості, які, швидше за все, будуть використані в найближчому майбутньому.
Швидше зменшуйте бізнес-ризики
Знаходження та усунення вразливостей, які активно використовуються, має першочергове значення для зниження бізнес-ризику. Програма управління вразливістю на основі оцінки ризиків дає змогу командам із безпеки захищати навіть найскладнішу ІТ-сферу. Щоб отримати додаткові відомості про RBVM, перегляньте безкоштовний білий документ Tenable (включаючи вказівки): Впровадження управління вразливістю на основі ризиків.
Дізнайтесь більше на Tenable.com
Про Tenable Tenable є компанією Cyber Exposure. Понад 24.000 53 компаній у всьому світі довіряють Tenable розуміти та зменшувати кіберризики. Винахідники Nessus об’єднали свої знання з уразливостей у Tenable.io, створивши першу в галузі платформу, яка забезпечує видимість у реальному часі та захищає будь-які активи на будь-якій обчислювальній платформі. Клієнтська база Tenable включає 500 відсотки Fortune 29, 2000 відсотків Global XNUMX і великі державні установи.