Технические, операционные и стратегические экспозиции. Из определения следует, что экспозиции могут быть разного уровня и типа:

🛠 Технические: необновлённое ПО с известными уязвимостями, уязвимые самописные приложения, небезопасные протоколы, слабые пароли, мисконфигурации, открытые порты, излишняя сетевая связность, нешифрованные данные.

⚙️ Операционные: недостаточный мониторинг, слабый контроль доступа, неразвитые процедуры реагирования на инциденты, неполные планы восстановления, редкий пентест, хаотичная документация.

🎯 Стратегические: недооценка рисков, устаревшие политики, пробелы в комплаенсе, нехватка ресурсов, недостаток обучения персонала, риски от подрядчиков или облачных сервисов.

Любую атаку можно разложить на последовательность эксплуатации экспозиций. А экспозиции разного уровня можно мапить друг на друга.

Например, пробив периметра через известную уязвимость: 🛠 RCE в сервисе на периметре → ⚙️ нет работающего процесса контроля периметра → 🎯 не закуплен EASM. 😉

Формулируем определение "экспозиции". Оказалось, что западные ИБ-специалисты (а скорее ИБ-маркетологи) на практике совершенно не запариваются какими-то заумными "степенями, вероятностями и уровнями риска", а просто понимают под экспозициями "уязвимости в широком смысле этого слова": от ошибок ПО, мисконфигураций и избыточной сетевой связности до проблем в реализации конкретных ИБ-процессов и управлении ИБ. А собственно под "уязвимостями" понимают только эксплуатируемые ошибки ПО. 🙂

Поэтому, расширяя определение уязвимости из ГОСТа, можем сформулировать:

"Экспозиция (киберэкспозиция) — это слабость технического, операционного или стратегического уровня, которая может быть использована для реализации угроз безопасности информации."

С таким определением "экспозиция" ("exposure") теряет флёр загадочности и становится вполне конкретным "зонтичным" термином для эксплуатабельных проблем ИБ. Это вносит ясность и в то, что такое EM/CTEM-решения, и чем они отличаются от VM-решений. 😉