Как определить критичность уязвимости?

Часто в исследованиях, пресс-релизах и новостях мы видим такие определения уязвимостей, как низкая, средняя или высокая степень критичности, ещё мы видим цифры, которые говорят нам о степени критичности. Однако не всё так просто и однозначно. И подробнее об этом в эфире «ИБшник на удалёнке» рассказали эксперты Positive Technologies — директор по анализу защищённости Дмитрий Серебрянников и директор экспертного центра безопасности Алексей Новиков. 

«Вообще в мире у нас используется метрика CVSS, сейчас третья версия, актуальная. Это метрика на основе определённых параметров, и зачастую она не совсем отражает критичность уязвимости. Например, есть мы сейчас посмотрим на две найденные нами уязвимости в Cisco, то у нас первая получила 9,1, а чтение памяти — 7,5. Хотя казалось бы, мы можем заддосить устройство, клиенты не смогут подключаться, но второй уязвимостью мы можем проникнуть во внутреннюю сеть компании. И тут уже вопрос, что более критично для владельцев бизнес-системы? Поэтому эта оценка даёт некое отражение, но всегда детали тоже важны», — сразу же заметил Дмитрий Серебрянников.  

Алексей Новиков также отметил, что для определения критичности той или ной уязвимости необходима полная видимость: надо очень грамотно и очень вовремя понимать, где эта уязвимость появилась, то есть что это за софт или оборудование, и дальше понимать роль и место этого софта либо оборудования внутри инфраструктуры, какие именно процессы завязаны на этот элемент инфраструктуры и что будет доступно злоумышленнику, если он получит доступ к этому узлу. Потому что уязвимости тоже бывают разные, например, сетевая и локальная. Сетевая уязвимость, расположенная на периметре, это самый плохой случай, который может случиться, потому что всем становится известно, что в компании есть дверь и эта дверь не закрыта до тех пор, пока не установлен патч. Локальные уязвимости в эксплуатации несколько сложнее, особенно если они в том софте, который установлен внутри инфраструктуры. Однако их использование тоже возможно. Злоумышленники всё время придумывают способы. «И поэтому тут важно понимать, где узвимость возникла, как это влияет. А самое главное — это оперативно получать информацию, что эти уязвимости были выявлены и их необходимо пропатчить», — подытожил Алексей Новиков.

19 мая, 2020