Архив метки: Exposure

Что такое Управление Экспозициями (Exposure Management)?

Добавить комментарий

Что такое Управление Экспозициями (Exposure Management)?

Что такое Управление Экспозициями (Exposure Management)? Если мы определили экспозиции (exposures) как "уязвимости в широком смысле", то и управление экспозициями можно определить по аналогии с управлением уязвимостями.

"Управление экспозициями - процесс выявления и приоритизированного устранения экспозиций."

🔍 Настоящее решение по управлению экспозициями (EM), а не обычный VM/RBVM названный так ради хайпа, должно определять не только уязвимости ПО (CVE/БДУ), но и мисконфигурации, излишние права доступа, слабые пароли, избыточную сетевую связность и т.д. Всё, что может эксплуатировать злоумышленник в ходе атаки.

🗺 Эффективная приоритизация экспозиций невозможна без понимания их взаимосвязи. Ключевой функциональностью этого класса решений становится построение и анализ путей атак (attack paths). Кстати, это транслирует и Tenable в своей "Модели зрелости управления экспозициями" (особенно на уровне 5) и в отчёте Exposure Management Leadership Council.

Технические, операционные и стратегические экспозиции

Добавить комментарий

Технические, операционные и стратегические экспозиции

Технические, операционные и стратегические экспозиции. Из определения следует, что экспозиции могут быть разного уровня и типа:

🛠 Технические: необновлённое ПО с известными уязвимостями, уязвимые самописные приложения, небезопасные протоколы, слабые пароли, мисконфигурации, открытые порты, излишняя сетевая связность, нешифрованные данные.

⚙️ Операционные: недостаточный мониторинг, слабый контроль доступа, неразвитые процедуры реагирования на инциденты, неполные планы восстановления, редкий пентест, хаотичная документация.

🎯 Стратегические: недооценка рисков, устаревшие политики, пробелы в комплаенсе, нехватка ресурсов, недостаток обучения персонала, риски от подрядчиков или облачных сервисов.

Любую атаку можно разложить на последовательность эксплуатации экспозиций. А экспозиции разного уровня можно мапить друг на друга.

Например, пробив периметра через известную уязвимость: 🛠 RCE в сервисе на периметре → ⚙️ нет работающего процесса контроля периметра → 🎯 не закуплен EASM. 😉

Формулируем определение "экспозиции"

Добавить комментарий

Формулируем определение экспозиции

Формулируем определение "экспозиции". Оказалось, что западные ИБ-специалисты (а скорее ИБ-маркетологи) на практике совершенно не запариваются какими-то заумными "степенями, вероятностями и уровнями риска", а просто понимают под экспозициями "уязвимости в широком смысле этого слова": от ошибок ПО, мисконфигураций и избыточной сетевой связности до проблем в реализации конкретных ИБ-процессов и управлении ИБ. А собственно под "уязвимостями" понимают только эксплуатируемые ошибки ПО. 🙂

Поэтому, расширяя определение уязвимости из ГОСТа, можем сформулировать:

"Экспозиция (киберэкспозиция) — это слабость технического, операционного или стратегического уровня, которая может быть использована для реализации угроз безопасности информации."

С таким определением "экспозиция" ("exposure") теряет флёр загадочности и становится вполне конкретным "зонтичным" термином для эксплуатабельных проблем ИБ. Это вносит ясность и в то, что такое EM/CTEM-решения, и чем они отличаются от VM-решений. 😉

Невнятные "экспозиции"

Добавить комментарий

Невнятные экспозиции

Невнятные "экспозиции". Вы могли заметить, что я начал использовать в своих постах термин "экспозиции" ("exposures"). Хотя ещё в прошлом году призывал воздерживаться от этого. У меня отношение к этому термину весьма сложное. Оно менялось классически: от гнева и отрицания до торга и принятия. 😇

Сам англоязычный термин "exposure" (или "cybersecurity exposure") на Западе нигде толком не определён. Глоссарий NIST, задающий значения практически всем понятиям ИБ, определяет экспозицию как "степень, в которой организация и/или заинтересованная сторона подвержена риску" или "cочетание вероятности и уровней воздействия риска". Ну, класс! 🫤 И как вот это приземлить на "CVE - Common Vulnerabilities and Exposures"? И как понимать "управление" всем этим? Бредятина ведь какая-то! 🤪

🪶👁 Но постепенно индеец Зоркий глаз начал замечать, что на практике буржуины используют термин "exposure" в гораздо более простом значении. 😅 И именно такое значение нам было бы неплохо закрепить. 😉

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов!

Добавить комментарий

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов!

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов! Вместе с управлением харденингом, конфигурациями и экспозицями (весьма рад, что Александр Редчиц тоже калькирует этот термин при переводе 🙂👍).

Алексей Лукацкий считает, что "exposure" лучше переводить не как "экспозиция", а как "обнажённость" или "нагота"

Добавить комментарий

Алексей Лукацкий считает, что exposure лучше переводить не как экспозиция, а как обнажённость или наготаАлексей Лукацкий считает, что exposure лучше переводить не как экспозиция, а как обнажённость или нагота

Алексей Лукацкий считает, что "exposure" лучше переводить не как "экспозиция", а как "обнажённость" или "нагота". 😅 Безусловно, любое упоминание моих постов уважаемым мэтром в канале на 22+к, вызывает у меня глубокое чувство благодарности. Даже если это стёб. 😎

🔹 "Незащищённость", имхо, не может быть хорошим переводом "exposure". Потому что "незащищённость" это "insecurity", понятие гораздо более широкое.

🔹 "Обнажённость" гораздо лучше передаёт суть проблемы, но всерьёз писать про "Управление Обнажённостями" я постесняюсь. 😅 Эпатаж по ИБ оставлю другим.

🔹 Про карту средств Управления Уязвимостями и классы помню. 😉 Выделять "Exposure Management" не собираюсь, т.к. такие решения укладываются в Средства Анализа Уязвимостей (САУ) и Средства Детектирования Уязвимостей Инфраструктуры (СДУИ). 🙂 "Exposure" двигают маркетолухи.

🔹 То, что "экспозиция" есть у фотографов вовсе не беда. В википедии аж 8 статей про разные экспозиции есть. Будет ещё и экспозиция по ИБ, подвинутся. 😉

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному

Добавить комментарий

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному. Вынесу из комментария:

"Для слова Exposure есть вполне отечественный перевод «по понятиям» — поверхность атаки. Единственного числа нет — одна доступная извне уязвимость, такая же поверхность атаки, как и решето, только меньше. Тогда Exposure Management — управление поверхностью атаки. Не противоречит логике языка. Конечно, с «экспонированными» уязвимостями перевод сложнее, но также можно сделать логично — уязвимость стала частью поверхности атаки (расширила поверхность атаки)."

Как мне кажется, так делать неправильно. Потому что "поверхность атаки" это "attack surface". И уже есть понятие "Attack Surface Management", которое не тождественно "Exposure Management" (тупо разные маркетинговые ниши). Поэтому сводя "exposure" в "поверхность атаки" мы получаем потом ненужные двусмысленности и несоответствия. Также как и при переводе в другие устоявшиеся термины, имеющие прямой перевод на английский: риск, угроза, уязвимость и прочее.

Была идея переводить "exposure" как "подверженность воздействию", но на русском это будет чудовищно громоздко и коряво. Поэтому лучше уж калькировать в "экспозицию".

Тем более, что использование слов "экспозиция" и "экспозировать" в таком смысле даже не особо противоречит правилам русского языка, есть такой архаизм:

ЭКСПОЗИРОВАТЬ exposer. устар. Выставлять, экспонировать; показывать. Носов изобрел славнейший хронометр, который желает экспозировать; все часовщики признают это славностью, делающею честь Русскому имени. 1829. А. Я. Булгаков. // РА 1901 3 306. Исторический словарь галлицизмов русского языка

Но повторюсь, что по мне и "Attack Surface Management", и "Exposure Management" это всё лишние термины, которые вполне укладываются в привычный Vulnerability Management. Введение "экспозиции" это вынужденная мера из-за того, что буржуи не унимаются и всё интенсивнее это "exposure" у себя используют.