Архив метки: prioritization

Выписал тезисы по статье Алексея Лукацкого про методы приоритизации уязвимостей

Добавить комментарий

Выписал тезисы по статье Алексея Лукацкого про методы приоритизации уязвимостей

Выписал тезисы по статье Алексея Лукацкого про методы приоритизации уязвимостей.

🔹 Количество CVE уязвимостей растёт с большим ускорением; считается, что на одну зарегистрированную уязвимость есть 3 незарегистрированных.
🔹 Исходя из статистики, устранение уязвимостей осуществляется гораздо позже, чем эти уязвимости начинают использовать атакующие.
🔹 Отсутствие выстроенного процесса приоритизации уязвимостей - одна из причин задержек в их устранении.
🔹 Единственного правильного метода приоритизации уязвимостей нет: у каждого свои преимущества, недостатки и область применения.
🔹 Выбор у корпоративных пользователей небогат: довериться методам приоритизации VM-вендора, либо пилить свой процесс (собирая temporal и environmental данные самостоятельно).
🔹 Можно попробовать разработать собственную методику, однако всё равно нужно где-то брать исходные данные. Большинство компаний берут за основу CVSS Base Score + временные метрики (EPSS, Coalition ESS, AI Score, CVE Shield, CISA KEV и т.п.). Каверзные вопросы. Что делать с новыми уязвимостями, по которым еще нет данных? И что делать с уязвимостями, для которых нет, и возможно, не будет данных в CVE (например, с уязвимостями в российских продуктах)? 🤔 Информации по их эксплуатабельности в западных источниках не будет. 😏
🔹 "Уникальная и революционная система приоритизации уязвимостей" = учёт информации о наличии эксплойта, использовании уязвимости в реальных атаках, активности обсуждения в СМИ и соцсетях и т.д. + обработка ML-ем.
🔹 Упрощённые критерии принятия решений (НКЦКИ, SSPP, CISA) всё равно требуют автоматизации и источника информации об активности эксплуатации уязвимостей вживую.

На прошлой неделе на сайте РезБеза вышел большой обзор методов приоритизации уязвимостей от Алексея Лукацкого

1 комментарий

На прошлой неделе на сайте РезБеза вышел большой обзор методов приоритизации уязвимостей от Алексея Лукацкого

На прошлой неделе на сайте РезБеза вышел большой обзор методов приоритизации уязвимостей от Алексея Лукацкого. Нашлось там место и для предложенной мной альтернативы CVSS под названием ОСОКА ("Общая Система Оценки Критичности Автоматизируемая"), а также там упоминается моя утилита для приоритизации уязвимостей Vulristics. Видимо действительно пора доводить ОСОКу от разрозненных заметок до спецификации, делать калькулятор и интегрировать её в Vulristics. 🤔

Рассматриваемые в статье методы разбиты на 3 группы:

🔹Зарубежные: CVSS, EPSS, CISA SSVC, CISA KEV, CVEShield (CVE Crowd, CVETrends), CMU SSVC, CVE Prioritizer, Vulners AI Score, Zoom VISS, SSPP

🔹 Российские: методика ФСТЭК, алгоритм НКЦКИ, трендовые уязвимости Positive Technologies, ОСОКА

🔹Проприетарные / закрытые: Coalition ESS, Tenable VPR, Qualys TruRisk, MVSF, PRIOn. Здесь же упоминаются внедряемые технологии приоритизации (VPT): Vulnera VSCORE, Outpost24 VPT, Vulcan, Ridge RidgeBot

Тоже сделал мемчик с крутым Юсуфом Дикечем

Добавить комментарий

Тоже сделал мемчик с крутым Юсуфом Дикечем

Тоже сделал мемчик с крутым Юсуфом Дикечем. 😅

🔹 Каждая существующая в инфраструктуре уязвимость должна быть продетектирована.
🔹 Для каждой продетектированной уязвимости должна быть заведена задача на исправление.

Это суровая база. А когда вам говорят, что этого можно не делать, потому что есть какой-то супер-современный инструмент оценки уязвимостей, к этому стоит относиться со скепсисом. 😉

Посмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостей

Добавить комментарий

Посмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостейПосмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостейПосмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостейПосмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостей

Посмотрел совместный вебинар Vulners и RST Cloud про приоритизацию уязвимостей.

🔹 Кирилл Ермаков из Vulners рассказал про важность приоритизации узявимостей (особенно для MSSP компаний, т.к. они отвечают за безопасность клиентов) и как её можно улучшить с помощью динамически обновляемого AI Score v2. Очень понравилась его фраза: "если вы не знаете свои активы очень хорошо, выключайте вебинар и идите заниматься Asset Management-ом". Asset Management это база. 👍

🔹 Юрий Сергеев из RST Cloud рассказал как при приоритизации уязвимостей учесть данные об их эксплуатации в реальных атаках (в вашей локации, в вашей индустрии, для вашего профиля злоумышленника). Он привёл формулу и продемонстрировал как учёт этих факторов влияет на приоритизацию. Понравился пример с regreSSHion, где шуму много, но атака очень заметная и занимает много времени, поэтому эксплуатация вряд ли будет массовой.

Идея на миллион хамстер-коинов

Добавить комментарий

Идея на миллион хамстер-коинов

Идея на миллион хамстер-коинов. 🐹😅 Делаем сайт/апп, на котором можно тапать CVE-шки. Но тапать будет иметь смысл не все CVE, а только те, у которых в течение следующей недели должен появиться подтверждённый эксплоит или признак эксплуатации вживую.

🪙 Когда такой признак или эксплоит действительно появляется, отсыпать коинов тем, кто за последнюю неделю тапал на эту уязвимость. Соразмерно количеству тапов, критичности уязвимости и т.п.

📈 А на основе анализа этих тапов делать прогнозы по эксплуатабельности уязвимостей. С помощью AI естественно.

Уверен, что работать такое будет всяко лучше EPSS и гадалкам по соцсетям. 😅