Архив метки: ExposureManagement

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями"

Добавить комментарий

На портале @CISOCLUB вышло интервью со мной Эволюция подхода к управлению уязвимостями

На портале @CISOCLUB вышло интервью со мной "Эволюция подхода к управлению уязвимостями". В прошлом году я рассказывал о вещах, которые считаю наиболее важными в VM-е, а в этот раз в основном о будущем VM-а и Exposure Management (Управление Экпозициями). И немного о своих регуляторных хотелках. 😉

Ответил на вопросы:

🔹 Как изменился подход российских организаций к VM процессу в 2025 году?
🔹 По структуре EM и VM процессы совпадают?
🔹 Моделирование действий атакующего - это не то же самое, что пентест?
🔹 Насколько актуальными остаются традиционные способы приоритизации уязвимостей и выделение «трендовых уязвимостей»?
🔹 Как расширенные VM-практики (EM) соотносятся с требованиями регуляторов?
🔹 Какие регуляторные требования могли бы повысить защищённость российских организаций и национальную безопасность?
🔹 Какие изменения в VM/EM-решениях ждут нас в будущем?

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR

Добавить комментарий

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR

На прошлой неделе Tenable выпустили два больших материала с критикой продуктов класса Exposure Management, развившихся из EDR.

🔻 Критическая статья и сравнительная таблица таких решений с EM-решением Tenable. Там ещё есть видео от вице-президента Tenable (Gavin Millard). 📺

🔻 Едкая критика EDR-вендоров в рамках статьи о компрометации вендора F5.

Похоже, конкуренты EDR-щики успешно перетягивают на себя тему Exposure Management-а, и Tenable пришлось начать маркетинговую войну. ⚔️

В которой я, безусловно, на стороне Tenable. 🙂 Endpoint-ы - важная часть инфраструктуры, но, естественно, не вся. И для качественного детектирования экспозиций нужен фокус на этой теме. Если реализовывать это в виде побочной функциональности EDR-решения, получится так себе. 😒

Хотя, говоря о качестве детектирования, западные VM-вендоры сами виноваты, что долгое время замалчивали эту тему, и у пользователей могло сложиться впечатление, что это всё коммодити и никакой разницы нет. 😉

Что такое Управление Экспозициями (Exposure Management)?

Добавить комментарий

Что такое Управление Экспозициями (Exposure Management)?

Что такое Управление Экспозициями (Exposure Management)? Если мы определили экспозиции (exposures) как "уязвимости в широком смысле", то и управление экспозициями можно определить по аналогии с управлением уязвимостями.

"Управление экспозициями - процесс выявления и приоритизированного устранения экспозиций."

🔍 Настоящее решение по управлению экспозициями (EM), а не обычный VM/RBVM названный так ради хайпа, должно определять не только уязвимости ПО (CVE/БДУ), но и мисконфигурации, излишние права доступа, слабые пароли, избыточную сетевую связность и т.д. Всё, что может эксплуатировать злоумышленник в ходе атаки.

🗺 Эффективная приоритизация экспозиций невозможна без понимания их взаимосвязи. Ключевой функциональностью этого класса решений становится построение и анализ путей атак (attack paths). Кстати, это транслирует и Tenable в своей "Модели зрелости управления экспозициями" (особенно на уровне 5) и в отчёте Exposure Management Leadership Council.

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному

Добавить комментарий

Есть, конечно, большой соблазн не вводить новый термин "экспозиция", а свести "exposure" к чему-то привычному. Вынесу из комментария:

"Для слова Exposure есть вполне отечественный перевод «по понятиям» — поверхность атаки. Единственного числа нет — одна доступная извне уязвимость, такая же поверхность атаки, как и решето, только меньше. Тогда Exposure Management — управление поверхностью атаки. Не противоречит логике языка. Конечно, с «экспонированными» уязвимостями перевод сложнее, но также можно сделать логично — уязвимость стала частью поверхности атаки (расширила поверхность атаки)."

Как мне кажется, так делать неправильно. Потому что "поверхность атаки" это "attack surface". И уже есть понятие "Attack Surface Management", которое не тождественно "Exposure Management" (тупо разные маркетинговые ниши). Поэтому сводя "exposure" в "поверхность атаки" мы получаем потом ненужные двусмысленности и несоответствия. Также как и при переводе в другие устоявшиеся термины, имеющие прямой перевод на английский: риск, угроза, уязвимость и прочее.

Была идея переводить "exposure" как "подверженность воздействию", но на русском это будет чудовищно громоздко и коряво. Поэтому лучше уж калькировать в "экспозицию".

Тем более, что использование слов "экспозиция" и "экспозировать" в таком смысле даже не особо противоречит правилам русского языка, есть такой архаизм:

ЭКСПОЗИРОВАТЬ exposer. устар. Выставлять, экспонировать; показывать. Носов изобрел славнейший хронометр, который желает экспозировать; все часовщики признают это славностью, делающею честь Русскому имени. 1829. А. Я. Булгаков. // РА 1901 3 306. Исторический словарь галлицизмов русского языка

Но повторюсь, что по мне и "Attack Surface Management", и "Exposure Management" это всё лишние термины, которые вполне укладываются в привычный Vulnerability Management. Введение "экспозиции" это вынужденная мера из-за того, что буржуи не унимаются и всё интенсивнее это "exposure" у себя используют.

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔

3 комментария

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин Exposure в около-VM-ном контексте - пора с этим что-то делать! 🤔

Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔 От наших регуляторов определённой позиции не видно. В связи с этим я решил, что в своих блогопостах буду пока просто калькировать это безобразие.

🔹 Exposure - Экспозиция
🔹 Exposures - Экспозиции
🔹 Cyber Exposure - Киберэкспозиция
🔹 Exposure Management - Управление Экспозициями (во множественном числе по аналогии с Vulnerability Management - Управление Уязвимостями)
🔹 exposed - экспозированный
🔹 to expose - экспозировать

̶П̶о̶к̶а̶ ̶н̶е̶ ̶б̶у̶д̶е̶т̶ ̶к̶а̶к̶о̶г̶о̶-̶т̶о̶ ̶а̶д̶е̶к̶в̶а̶т̶н̶о̶г̶о̶ ̶о̶ф̶и̶ц̶и̶а̶л̶ь̶н̶о̶г̶о̶ ̶о̶п̶р̶е̶д̶е̶л̶е̶н̶и̶я̶,̶ ̶б̶у̶д̶у̶ ̶п̶о̶н̶и̶м̶а̶т̶ь̶ ̶п̶о̶д̶ ̶(̶к̶и̶б̶е̶р̶)̶э̶к̶с̶п̶о̶з̶и̶ц̶и̶е̶й̶ ̶"̶п̶о̶д̶в̶е̶р̶ж̶е̶н̶н̶о̶с̶т̶ь̶ ̶в̶н̶е̶ш̶н̶е̶м̶у̶ ̶(̶к̶и̶б̶е̶р̶)̶в̶о̶з̶д̶е̶й̶с̶т̶в̶и̶ю̶"̶.̶ ̶

Upd. 06.09.2025 Сформулировал определение

Это более-менее бьётся с глоссарием NIST:
"Extent to which an organization and/or stakeholder is subject to a risk."
"Степень, в которой организация и/или стейкхолдер подвержены риску." 🤷‍♂️

Пример экспозиции: Windows-хост уязвимый к MS17-010 доступен из Интернет по SMB порту, поэтому любой удалённый злоумышленник может его тривиально поломать.

Если же мы отключим этот хост от сети, то уязвимость на нём всё равно будет, но экспозиции при этом уже не будет. В этом вижу разницу. 🧙‍♂️

При всём этом я считаю, следующее:

🔻 Всяческого порицания достоин тот буржуй, который придумал тащить в ИБ такое туманное и многозначное слово как "exposure". 🔮 Имхо, единственная причина почему его так часто сейчас используют, потому что "Exposure Management" это круто-модно-молодежно, а "Vulnerability Management" это что-то привычное и неинтересное. Тухлый креатив маркетолухов, которые не могут сделать стоящую вещь, поэтому играются со словами. 😤 Но у них там на западе своя атмосфера и вряд ли мы можем как-то повлиять на это. У виска покрутить разве что. 🤪
🔻 Переводить "Exposure Management" как "Управление Рисками" в общем случае считаю неправильным, т.к. непонятно что тогда такое "Risk Management". 😏 Это уже какой-то анекдот про кота и кита. Нет уж, давайте "риск" это будет "risk", а для "exposure" будем использовать что-то другое.
🔻 Раз уж термин продолжает использоваться, то давайте переводить подобное в подобное, а не пытаться додумывать, что конкретно имел ввиду автор текста в каждом случае. Дело это неблагодарное.
🔻 В оригинальных (непереводных) текстах лучше обходиться без всяких там экспозиций, а писать в конкретных терминах. Ну или наоборот вводить это дело в активный обиход и обмазываться по полной. 😅🌝

Дальше как раз посмотрим свеженький документ, в котором сплошной ехал exposure через exposure.