Архив метки: Exposure

Технические, операционные и стратегические экспозиции

Добавить комментарий

Технические, операционные и стратегические экспозиции

Технические, операционные и стратегические экспозиции. Из определения следует, что экспозиции могут быть разного уровня и типа:

🛠 Технические: необновлённое ПО с известными уязвимостями, уязвимые самописные приложения, небезопасные протоколы, слабые пароли, мисконфигурации, открытые порты, излишняя сетевая связность, нешифрованные данные.

⚙️ Операционные: недостаточный мониторинг, слабый контроль доступа, неразвитые процедуры реагирования на инциденты, неполные планы восстановления, редкий пентест, хаотичная документация.

🎯 Стратегические: недооценка рисков, устаревшие политики, пробелы в комплаенсе, нехватка ресурсов, недостаток обучения персонала, риски от подрядчиков или облачных сервисов.

Любую атаку можно разложить на последовательность эксплуатации экспозиций. А экспозиции разного уровня можно мапить друг на друга.

Например, пробив периметра через известную уязвимость: 🛠 RCE в сервисе на периметре → ⚙️ нет работающего процесса контроля периметра → 🎯 не закуплен EASM. 😉

Формулируем определение "экспозиции"

Добавить комментарий

Формулируем определение экспозиции

Формулируем определение "экспозиции". Оказалось, что западные ИБ-специалисты (а скорее ИБ-маркетологи) на практике совершенно не запариваются какими-то заумными "степенями, вероятностями и уровнями риска", а просто понимают под экспозициями "уязвимости в широком смысле этого слова": от ошибок ПО, мисконфигураций и избыточной сетевой связности до проблем в реализации конкретных ИБ-процессов и управлении ИБ. А собственно под "уязвимостями" понимают только эксплуатируемые ошибки ПО. 🙂

Поэтому, расширяя определение уязвимости из ГОСТа, можем сформулировать:

"Экспозиция (киберэкспозиция) — это слабость технического, операционного или стратегического уровня, которая может быть использована для реализации угроз безопасности информации."

С таким определением "экспозиция" ("exposure") теряет флёр загадочности и становится вполне конкретным "зонтичным" термином для эксплуатабельных проблем ИБ. Это вносит ясность и в то, что такое EM/CTEM-решения, и чем они отличаются от VM-решений. 😉

Невнятные "экспозиции"

Добавить комментарий

Невнятные экспозиции

Невнятные "экспозиции". Вы могли заметить, что я начал использовать в своих постах термин "экспозиции" ("exposures"). Хотя ещё в прошлом году призывал воздерживаться от этого. У меня отношение к этому термину весьма сложное. Оно менялось классически: от гнева и отрицания до торга и принятия. 😇

Сам англоязычный термин "exposure" (или "cybersecurity exposure") на Западе нигде толком не определён. Глоссарий NIST, задающий значения практически всем понятиям ИБ, определяет экспозицию как "степень, в которой организация и/или заинтересованная сторона подвержена риску" или "cочетание вероятности и уровней воздействия риска". Ну, класс! 🫤 И как вот это приземлить на "CVE - Common Vulnerabilities and Exposures"? И как понимать "управление" всем этим? Бредятина ведь какая-то! 🤪

🪶👁 Но постепенно индеец Зоркий глаз начал замечать, что на практике буржуины используют термин "exposure" в гораздо более простом значении. 😅 И именно такое значение нам было бы неплохо закрепить. 😉

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов!

Добавить комментарий

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов!

Gartner: Vulnerability Management - это база для обеспечения безопасности серверов и десктопов! Вместе с управлением харденингом, конфигурациями и экспозицями (весьма рад, что Александр Редчиц тоже калькирует этот термин при переводе 🙂👍).

Алексей Лукацкий считает, что "exposure" лучше переводить не как "экспозиция", а как "обнажённость" или "нагота"

Добавить комментарий

Алексей Лукацкий считает, что exposure лучше переводить не как экспозиция, а как обнажённость или наготаАлексей Лукацкий считает, что exposure лучше переводить не как экспозиция, а как обнажённость или нагота

Алексей Лукацкий считает, что "exposure" лучше переводить не как "экспозиция", а как "обнажённость" или "нагота". 😅 Безусловно, любое упоминание моих постов уважаемым мэтром в канале на 22+к, вызывает у меня глубокое чувство благодарности. Даже если это стёб. 😎

🔹 "Незащищённость", имхо, не может быть хорошим переводом "exposure". Потому что "незащищённость" это "insecurity", понятие гораздо более широкое.

🔹 "Обнажённость" гораздо лучше передаёт суть проблемы, но всерьёз писать про "Управление Обнажённостями" я постесняюсь. 😅 Эпатаж по ИБ оставлю другим.

🔹 Про карту средств Управления Уязвимостями и классы помню. 😉 Выделять "Exposure Management" не собираюсь, т.к. такие решения укладываются в Средства Анализа Уязвимостей (САУ) и Средства Детектирования Уязвимостей Инфраструктуры (СДУИ). 🙂 "Exposure" двигают маркетолухи.

🔹 То, что "экспозиция" есть у фотографов вовсе не беда. В википедии аж 8 статей про разные экспозиции есть. Будет ещё и экспозиция по ИБ, подвинутся. 😉

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному

Добавить комментарий

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному. Вынесу из комментария:

"Для слова Exposure есть вполне отечественный перевод «по понятиям» — поверхность атаки. Единственного числа нет — одна доступная извне уязвимость, такая же поверхность атаки, как и решето, только меньше. Тогда Exposure Management — управление поверхностью атаки. Не противоречит логике языка. Конечно, с «экспонированными» уязвимостями перевод сложнее, но также можно сделать логично — уязвимость стала частью поверхности атаки (расширила поверхность атаки)."

Как мне кажется, так делать неправильно. Потому что "поверхность атаки" это "attack surface". И уже есть понятие "Attack Surface Management", которое не тождественно "Exposure Management" (тупо разные маркетинговые ниши). Поэтому сводя "exposure" в "поверхность атаки" мы получаем потом ненужные двусмысленности и несоответствия. Также как и при переводе в другие устоявшиеся термины, имеющие прямой перевод на английский: риск, угроза, уязвимость и прочее.

Была идея переводить "exposure" как "подверженность воздействию", но на русском это будет чудовищно громоздко и коряво. Поэтому лучше уж калькировать в "экспозицию".

Тем более, что использование слов "экспозиция" и "экспозировать" в таком смысле даже не особо противоречит правилам русского языка, есть такой архаизм:

ЭКСПОЗИРОВАТЬ exposer. устар. Выставлять, экспонировать; показывать. Носов изобрел славнейший хронометр, который желает экспозировать; все часовщики признают это славностью, делающею честь Русскому имени. 1829. А. Я. Булгаков. // РА 1901 3 306. Исторический словарь галлицизмов русского языка

Но повторюсь, что по мне и "Attack Surface Management", и "Exposure Management" это всё лишние термины, которые вполне укладываются в привычный Vulnerability Management. Введение "экспозиции" это вынужденная мера из-за того, что буржуи не унимаются и всё интенсивнее это "exposure" у себя используют.

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔

3 комментария

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин Exposure в около-VM-ном контексте - пора с этим что-то делать! 🤔

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔 От наших регуляторов определённой позиции не видно. В связи с этим я решил, что в своих блогопостах буду пока просто калькировать это безобразие.

🔹 Exposure - Экспозиция
🔹 Exposures - Экспозиции
🔹 Cyber Exposure - Киберэкспозиция
🔹 Exposure Management - Управление Экспозициями (во множественном числе по аналогии с Vulnerability Management - Управление Уязвимостями)
🔹 exposed - экспозированный
🔹 to expose - экспозировать

̶П̶о̶к̶а̶ ̶н̶е̶ ̶б̶у̶д̶е̶т̶ ̶к̶а̶к̶о̶г̶о̶-̶т̶о̶ ̶а̶д̶е̶к̶в̶а̶т̶н̶о̶г̶о̶ ̶о̶ф̶и̶ц̶и̶а̶л̶ь̶н̶о̶г̶о̶ ̶о̶п̶р̶е̶д̶е̶л̶е̶н̶и̶я̶,̶ ̶б̶у̶д̶у̶ ̶п̶о̶н̶и̶м̶а̶т̶ь̶ ̶п̶о̶д̶ ̶(̶к̶и̶б̶е̶р̶)̶э̶к̶с̶п̶о̶з̶и̶ц̶и̶е̶й̶ ̶"̶п̶о̶д̶в̶е̶р̶ж̶е̶н̶н̶о̶с̶т̶ь̶ ̶в̶н̶е̶ш̶н̶е̶м̶у̶ ̶(̶к̶и̶б̶е̶р̶)̶в̶о̶з̶д̶е̶й̶с̶т̶в̶и̶ю̶"̶.̶ ̶

Upd. 06.09.2025 Сформулировал определение

Это более-менее бьётся с глоссарием NIST:
"Extent to which an organization and/or stakeholder is subject to a risk."
"Степень, в которой организация и/или стейкхолдер подвержены риску." 🤷‍♂️

Пример экспозиции: Windows-хост уязвимый к MS17-010 доступен из Интернет по SMB порту, поэтому любой удалённый злоумышленник может его тривиально поломать.

Если же мы отключим этот хост от сети, то уязвимость на нём всё равно будет, но экспозиции при этом уже не будет. В этом вижу разницу. 🧙‍♂️

При всём этом я считаю, следующее:

🔻 Всяческого порицания достоин тот буржуй, который придумал тащить в ИБ такое туманное и многозначное слово как "exposure". 🔮 Имхо, единственная причина почему его так часто сейчас используют, потому что "Exposure Management" это круто-модно-молодежно, а "Vulnerability Management" это что-то привычное и неинтересное. Тухлый креатив маркетолухов, которые не могут сделать стоящую вещь, поэтому играются со словами. 😤 Но у них там на западе своя атмосфера и вряд ли мы можем как-то повлиять на это. У виска покрутить разве что. 🤪
🔻 Переводить "Exposure Management" как "Управление Рисками" в общем случае считаю неправильным, т.к. непонятно что тогда такое "Risk Management". 😏 Это уже какой-то анекдот про кота и кита. Нет уж, давайте "риск" это будет "risk", а для "exposure" будем использовать что-то другое.
🔻 Раз уж термин продолжает использоваться, то давайте переводить подобное в подобное, а не пытаться додумывать, что конкретно имел ввиду автор текста в каждом случае. Дело это неблагодарное.
🔻 В оригинальных (непереводных) текстах лучше обходиться без всяких там экспозиций, а писать в конкретных терминах. Ну или наоборот вводить это дело в активный обиход и обмазываться по полной. 😅🌝

Дальше как раз посмотрим свеженький документ, в котором сплошной ехал exposure через exposure.