RSAC 2019: в поисках идеальной стратегии установки обновлений

[KL FC Bot 189]

Извините, сэр, не найдется ли у вас минутки поговорить об обновлениях безопасности? Конечно же не найдется, наверняка вы заняты тем, что устанавливаете патчи. Если серьезно, то стоит взять паузу и подумать о том, насколько эффективно вы это делаете (спойлер: скорее всего, не очень-то эффективно).

Разумеется, лучше всего быть богатым и здоровым и мгновенно устанавливать все существующие патчи для всего программного обеспечения, которым пользуется ваша компания. Но в реальной жизни все немного сложнее, и на все заплатки никогда не хватает времени — приходится приоритизировать. Вопрос: как это лучше всего делать?

На RSA Conference 2019 Джей Джейкобс из Cyenta Institute и Майкл Ройтман из Kenna Security представили свое исследование «Этиология эксплуатации уязвимостей». В докладе исследователи аргументированно, с цифрами рассуждают о том, какие уязвимости заслуживают повышенного внимания и как можно кардинально улучшить стратегию установки обновлений безопасности.

Основная идея состоит в том, что далеко не все уязвимости эксплуатируются на практике. И раз так, то установку значительной доли обновлений достаточно безопасно откладывать, отдавая приоритет тем, которые действительно могут быть (и скорее всего будут) задействованы в реальной атаке. Остается понять, как можно отличить «опасные» уязвимости от «в основном безвредных».

Вооружившись описаниями из базы CVE, публично доступными базами эксплойтов, а также данными сканеров уязвимостей и IPS/IDS — в сумме это 7,3 миллиарда записей атак и 2,8 миллиарда уязвимостей в 13 миллионах систем — исследователи построили модель, которая достаточно неплохо позволяет это предсказать. Но сперва немного анализа уязвимостей.

 

Читать далее >>