Mnoga preduzeća se oslanjaju na Zajednički sistem bodovanja ranjivosti (CVSS) kako bi procijenila ozbiljnost ranjivosti radi određivanja prioriteta. Iako ovi rezultati pružaju izvestan uvid u potencijalni uticaj ranjivosti, oni ne uzimaju u obzir podatke o pretnjama iz stvarnog sveta, kao što je verovatnoća eksploatacije. Budući da se svakodnevno otkrivaju nove ranjivosti, timovi nemaju vremena – niti budžeta – da troše na popravljanje ranjivosti koje zapravo neće smanjiti rizik.
Čitajte dalje kako biste saznali više o tome kako se CVSS i EPSS upoređuju i zašto korištenje EPSS-a mijenja igru za vaš proces određivanja prioriteta ranjivosti.
Šta je određivanje prioriteta ranjivosti?
Određivanje prioriteta ranjivosti je proces vrednovanja i rangiranja ranjivosti na osnovu potencijalnog uticaja koji bi mogli imati na organizaciju. Cilj je pomoći sigurnosnim timovima da odrede koje ranjivosti treba riješiti, u kom vremenskom okviru ili da li ih je potrebno popraviti. Ovaj proces osigurava da se najkritičniji rizici ublaže prije nego što se mogu iskoristiti i bitan je dio upravljanja površinom napada.
U idealnom svijetu, sigurnosni timovi bi bili u stanju da saniraju svaku ranjivost čim se otkrije, ali to nije moguće niti efikasno. Istraživanja su pokazala da većina timova može sanirati samo oko 10-15% svojih otvorenih ranjivosti mjesečno, zbog čega je efikasno postavljanje prioriteta toliko važno.
Na kraju krajeva, ispravan prioritet ranjivosti osigurava da organizacije mogu na najbolji način iskoristiti svoje resurse. Zašto je ovo bitno? Zato što preduzeća ne mogu priuštiti trošenje novca na stvari osim ako to ne čini razliku, a upravljanje rizikom je sve u tome da se novac potroši na istinsko smanjenje rizika.
Ograničenja CVSS-a za određivanje prioriteta ranjivosti
Istorijski, jedan od najčešćih načina na koji organizacije daju prioritet ranjivostima je korištenje CVSS baznih rezultata.
Osnovni rezultati CVSS-a određeni su faktorima koji su konstantni tokom vremena i korisničkih okruženja, kao što su lakoća i tehnička sredstva pomoću kojih se ranjivost može iskoristiti i posljedica uspješnog eksploatacije. Ovi faktori se kvantificiraju i kombinuju kako bi se generisao konačni rezultat između 0 i 10 – što je rezultat veći, to je veća ozbiljnost.
CVSS rezultati nude osnovnu liniju i standardizirani način procjene težine i ponekad su neophodni za usklađenost. Međutim, oni imaju ograničenja zbog kojih se oslanjanje na njih čini manje efikasnim od razmatranja uz izvore podataka u realnom vremenu.
Jedno od glavnih ograničenja CVSS rezultata je to što oni ne uzimaju u obzir trenutni krajolik prijetnji, kao što je da li se ranjivost aktivno iskorištava u divljini. To znači da ranjivost sa visokim CVSS rezultatom ne mora nužno biti najkritičniji problem sa kojim se organizacija suočava. Uzmimo, na primjer, CVE-2023-48795. Njegov trenutni CVSS skor je 5,9, što je ‘srednji’. Ali ako uzmete u obzir druge izvore obavještajnih podataka o prijetnjama, kao što je EPSS, vidjet ćete da postoji velika šansa da se on iskoristi u sljedećih 30 dana (u vrijeme pisanja).
Ovo pokazuje važnost zauzimanja holističkijeg pristupa određivanju prioriteta ranjivosti koji uzima u obzir ne samo rezultate CVSS-a, već i obavještajne podatke o prijetnjama u realnom vremenu.
Poboljšanje određivanja prioriteta pomoću podataka o eksploataciji
Da bi se poboljšalo određivanje prioriteta ranjivosti, organizacije bi trebalo da pređu dalje od CVSS rezultata i da uzmu u obzir druge faktore, kao što je aktivnost eksploatacije identifikovana u divljini. Dragocjen izvor za ovo je EPSS, model koji je razvio FIRST.
Šta je to EPSS?
EPSS je model koji daje dnevnu procjenu vjerovatnoće da će ranjivost biti iskorištena u prirodi u narednih 30 dana. Model daje ocjenu između 0 i 1 (0 i 100%), s tim da veći rezultati ukazuju na veću vjerovatnoću eksploatacije.
Model funkcioniše prikupljanjem širokog spektra informacija o ranjivosti iz različitih izvora, kao što su Nacionalna baza podataka o ranjivosti (NVD), CISA KEV i Exploit-DB, zajedno sa dokazima eksploatacije. Koristeći mašinsko učenje, on obučava svoj model da identifikuje suptilne obrasce između ovih tačaka podataka, omogućavajući mu da predvidi vjerovatnoću budućeg iskorištavanja.
CVSS vs EPSS
Dakle, kako tačno EPSS rezultati pomažu u poboljšanju prioriteta ranjivosti?
Dijagram u nastavku ilustruje scenario u kojem se ranjivosti sa CVSS ocjenom 7 ili većim imaju prioritet za otklanjanje. Plavi krug predstavlja sve ove CVE-ove zabilježene 1. oktobra 2023. Crvenom bojom možete vidjeti sve CVE-ove sa CVSS rezultatima koji su iskorišteni u sljedećih 30 dana.
Kao što vidite, broj ranjivosti koje su iskorištavane u divljini predstavlja mali broj ranjivosti sa CVSS ocjenom 7 ili više.
Originalni izvor: FIRST.org
Uporedimo ovo sa scenarijem u kojem se ranjivosti postavljaju kao prioritet na osnovu EPSS praga postavljenog na 10%.
Primjetna razlika između dva dijagrama u nastavku je veličina plavih krugova, koji ukazuju na broj ranjivosti koje treba dati prioritet. Ovo daje predstavu o količini napora potrebnog za svaku strategiju prioritizacije. Sa pragom od 10% EPSS, napor je znatno manji, jer postoji mnogo manje ranjivosti za određivanje prioriteta, smanjujući vrijeme i potrebne resurse. Efikasnost je takođe znatno veća, jer se organizacije mogu fokusirati na ranjivosti koje bi imale najveći uticaj ako se ne pozabave prvim.
Originalni izvor: FIRST.org
Uzimajući u obzir EPSS pri određivanju prioriteta ranjivosti, organizacije mogu bolje uskladiti svoje napore na sanaciji sa stvarnim okruženjem prijetnji. Na primjer, ako EPSS ukazuje na visoku vjerovatnoću eksploatacije za ranjivost s relativno niskim CVSS rezultatom, sigurnosni timovi bi mogli razmotriti davanje prioriteta toj ranjivosti u odnosu na druge koji mogu imati više CVSS rezultate, ali manju vjerovatnoću iskorištavanja.
Pojednostavite određivanje prioriteta ranjivosti pomoću Intruder-a
Intruder je sigurnosna platforma zasnovana na cloud-u koja pomaže preduzećima da upravljaju svojom površinom za napade i identifikuju ranjivosti prije nego što se one mogu iskoristiti. Nudeći kontinuirani sigurnosni nadzor, upravljanje površinom napada i inteligentno određivanje prioriteta prijetnji, Intruder omogućava timovima da se fokusiraju na najkritičnije rizike, a istovremeno pojednostavljuju sajber sigurnost.
Snimak ekrana platforme Intruder
Intruder će uskoro objaviti funkciju za određivanje prioriteta ranjivosti, koju pokreće Exploit Prediction Scoring System (EPSS) – model koji koristi mašinsko učenje da predvidi koliko je vjerovatno da će ranjivost biti iskorištena u narednih 30 dana.
Uskoro ćete moći da vidite EPSS rezultate direktno unutar Intruder platforme, dajući vašem timu kontekst u stvarnom svjetu za pametnije određivanje prioriteta. Ovi rezultati će biti prikazani zajedno sa postojećim sistemom bodovanja, koji kombinuje CVSS rezultate sa unosom Intruderovog tima stručnjaka za sigurnost kako bi se inteligentno odredili prioriteti za vaše rezultate.
Izvor:The Hacker News
