Архив метки: CyberExposure

В этот четверг, 26 марта, я собираюсь выступить на московской конференции Security Summit "Стратегия и тактика информационной безопасности"

Добавить комментарий

В этот четверг, 26 марта, я собираюсь выступить на московской конференции Security Summit Стратегия и тактика информационной безопасности

В этот четверг, 26 марта, я собираюсь выступить на московской конференции Security Summit "Стратегия и тактика информационной безопасности". У меня там будет короткий доклад про эволюцию Vulnerability Management-а в Exposure Management. Буду рассказывать про то, как мы все жили не тужили где-то с начала нулевых: детектировали и приоритизированно устраняли уязвимости и мисконфигурации, называя это "Управление Уязвимостями". А потом бац - в 2017 году маркетологи Tenable придумали для позиционирования своих решений на рынке использовать вместо уязвимостей слово "exposures" - максимально обтекаемое и неконкретное даже на английском, а тем более при попытках перевести его на русский. И эти самые "exposures" настолько зашли консалтерам из Gartner, что где-то с 2022 года они стали использовать их в хвост и гриву в рамках своей концепции "продвинутого VM-а" под аббревиатурой CTEM (Continuous Threat Exposure Management). И т.к. Gartner в деле ИБ-шного маркетинга могущественны и влиятельны, то сейчас на Западе VM практически закончился. 🤷‍♂️ У всех бывших VM-вендоров сплошной CTEM через CTEM, естественно определяемый так, как конкретному вендору выгодно. 😏 И, соответственно, масса сопутствующей маркетинговой активности: новые продуктовые ниши для решений (EAP, AEV, VPT, EASA, CAASM, APM, APA, BAS, Auto PT, CART, APS, TIP, DRPS, ASCA, X-SPM - можно подумать, что я рандомно стучу по клавиатуре, но нет 😅), новые квадранты, масса аналитики на тему (полезной и не очень). Работают люди! 😉

И тут, глядя на это западное маркетингово-консалтинговое пиршество духа из подсанкционной России, возникает вопрос: игнорировать его или интерпретировать (желательно не сильно противореча оригиналу) и попытаться извлечь некоторую практическую пользу (чтобы EM не выхолостился просто в модный синоним VM-а). Учитывая, что мы чай не в лесу живём, игнорировать не выглядит хорошим вариантом - всё это так или иначе сюда придёт и будет использоваться. Получается, следует включаться в это использование, чётко определяя, что такое exposures (экспозиции, "уязвимости в широком смысле"), что такое Exposure Management ("управление экспозициями"), что такое CTEM ("непрерывное управление экспозициями с учётом угроз") и какая функциональность для этих классов решений является ключевой и приносящей реальную пользу.

В общем, примерно таким будет выступление. Заглядывайте на мероприятие, пообщаемся. 🙂 Positive Technologies - генеральный партнёр, поэтому на стенде про PT-шный взгляд на CTEM тоже расскажем и покажем продукты, которые его реализуют. 😉

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔

3 комментария

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин Exposure в около-VM-ном контексте - пора с этим что-то делать! 🤔

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔 От наших регуляторов определённой позиции не видно. В связи с этим я решил, что в своих блогопостах буду пока просто калькировать это безобразие.

🔹 Exposure - Экспозиция
🔹 Exposures - Экспозиции
🔹 Cyber Exposure - Киберэкспозиция
🔹 Exposure Management - Управление Экспозициями (во множественном числе по аналогии с Vulnerability Management - Управление Уязвимостями)
🔹 exposed - экспозированный
🔹 to expose - экспозировать

̶П̶о̶к̶а̶ ̶н̶е̶ ̶б̶у̶д̶е̶т̶ ̶к̶а̶к̶о̶г̶о̶-̶т̶о̶ ̶а̶д̶е̶к̶в̶а̶т̶н̶о̶г̶о̶ ̶о̶ф̶и̶ц̶и̶а̶л̶ь̶н̶о̶г̶о̶ ̶о̶п̶р̶е̶д̶е̶л̶е̶н̶и̶я̶,̶ ̶б̶у̶д̶у̶ ̶п̶о̶н̶и̶м̶а̶т̶ь̶ ̶п̶о̶д̶ ̶(̶к̶и̶б̶е̶р̶)̶э̶к̶с̶п̶о̶з̶и̶ц̶и̶е̶й̶ ̶"̶п̶о̶д̶в̶е̶р̶ж̶е̶н̶н̶о̶с̶т̶ь̶ ̶в̶н̶е̶ш̶н̶е̶м̶у̶ ̶(̶к̶и̶б̶е̶р̶)̶в̶о̶з̶д̶е̶й̶с̶т̶в̶и̶ю̶"̶.̶ ̶

Upd. 06.09.2025 Сформулировал определение

Это более-менее бьётся с глоссарием NIST:
"Extent to which an organization and/or stakeholder is subject to a risk."
"Степень, в которой организация и/или стейкхолдер подвержены риску." 🤷‍♂️

Пример экспозиции: Windows-хост уязвимый к MS17-010 доступен из Интернет по SMB порту, поэтому любой удалённый злоумышленник может его тривиально поломать.

Если же мы отключим этот хост от сети, то уязвимость на нём всё равно будет, но экспозиции при этом уже не будет. В этом вижу разницу. 🧙‍♂️

При всём этом я считаю, следующее:

🔻 Всяческого порицания достоин тот буржуй, который придумал тащить в ИБ такое туманное и многозначное слово как "exposure". 🔮 Имхо, единственная причина почему его так часто сейчас используют, потому что "Exposure Management" это круто-модно-молодежно, а "Vulnerability Management" это что-то привычное и неинтересное. Тухлый креатив маркетолухов, которые не могут сделать стоящую вещь, поэтому играются со словами. 😤 Но у них там на западе своя атмосфера и вряд ли мы можем как-то повлиять на это. У виска покрутить разве что. 🤪
🔻 Переводить "Exposure Management" как "Управление Рисками" в общем случае считаю неправильным, т.к. непонятно что тогда такое "Risk Management". 😏 Это уже какой-то анекдот про кота и кита. Нет уж, давайте "риск" это будет "risk", а для "exposure" будем использовать что-то другое.
🔻 Раз уж термин продолжает использоваться, то давайте переводить подобное в подобное, а не пытаться додумывать, что конкретно имел ввиду автор текста в каждом случае. Дело это неблагодарное.
🔻 В оригинальных (непереводных) текстах лучше обходиться без всяких там экспозиций, а писать в конкретных терминах. Ну или наоборот вводить это дело в активный обиход и обмазываться по полной. 😅🌝

Дальше как раз посмотрим свеженький документ, в котором сплошной ехал exposure через exposure.