Перейти к содержанию

Главные ошибки работы с CVSS | Блог Касперского


Рекомендуемые сообщения

При знакомстве с рейтингом CVSS (Common Vulnerability Scoring System) многим кажется, что он прекрасно подходит для сортировки уязвимостей и их приоритизации: если больше цифра рейтинга, значит уязвимость важнее. На практике этот подход не срабатывает. Уязвимостей с высоким рейтингом каждый год становится все больше, закрывать их все команды ИБ не успевают, при этом львиная доля этих дефектов никогда не эксплуатируется в реальных атаках. В то же время злоумышленники то и дело используют менее броские уязвимости с невысоким рейтингом. Есть и другие подводные камни — от чисто технических (конфликтующие оценки CVSS) до концептуальных (отсутствие бизнес-контекста).

Считать это недостатками самого рейтинга CVSS нельзя, нужно просто применять этот инструмент правильно: в рамках более сложного и комплексного процесса управления уязвимостями.

Разночтения CVSS

Иногда одна и та же уязвимость получает разную оценку критичности в доступных источниках: у исследователя ИБ, который ее нашел; у производителя уязвимого ПО; в национальном реестре уязвимостей. Кроме банальных ошибок у этих разночтений может быть и более серьезная причина — разные эксперты могут расходиться в оценках контекста эксплуатации: например, о том, с какими привилегиями выполняется уязвимое приложение, доступно ли оно из Интернета, и так далее. Производитель может ориентироваться здесь на свои рекомендации лучших практик, а исследователь ИБ — на то, как приложения настроены в реальных организациях. Один исследователь может оценить сложность эксплуатации как высокую, а другой — как низкую. Все это далеко не редкость. В исследовании VulnCheck, проведенном в 2023 году, подсчитали, что 20% уязвимостей из NVD содержат два рейтинга CVSS3 из разных источников и 56% этих парных оценок конфликтуют между собой.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • KL FC Bot
      Автор KL FC Bot
      Сейчас принято считать, что зумеры — несерьезные сотрудники: не хотят трудиться, ленятся, часто меняют одну работу на другую. А вот статистика говорит об обратном. Почти половина представителей поколения Z переключаются между фуллтаймом, фрилансом и прочими подработками. Злоумышленники это прознали — молодые люди с несколькими работами стали для них удобной мишенью.
      Наши эксперты провели исследование и выяснили, какие неочевидные угрозы несет этот тренд. В этой статье разбираемся, как зумерам работать в нескольких местах без риска для собственной кибербезопасности.
      Больше приложений – больше проблем
      Основная проблема связана с корпоративными приложениями и доступами: звонок в Zoom на основной работе, мессенджер Slack — для другой, а задачки везде ставят в Notion. А между прочим, все эти приложения расширяют возможную поверхность атаки злоумышленников. Негодяи постоянно рассылают фишинговые письма, правдоподобно переписываются от лица работодателей и продвигают вредоносы под видом легитимного ПО для работы. Ставить фейковые поручения якобы от лица босса они тоже могут.
      В период с последней половины 2024 до первой половины 2025 эксперты «Лаборатории Касперского» зафиксировали 6 млн атак с поддельными платформами. Чаще всего атакующие имитировали приложения из золотой троицы каждого корпоративного работника: Zoom, Microsoft Excel и Outlook.
      Выглядеть это может так: злоумышленник отправляет письмо якобы от лица Zoom с просьбой обновить приложение. В письме — ссылка, которая ведет на фишинговый сайт, имитирующий оригинальную страницу Zoom и сразу же загружает на устройство фейковое приложение. Оно, в свою очередь, может красть данные контактов жертвы или вовсе получить доступ к рабочему окружению — возможных сценариев много.
      Фишинговый сайт предлагает как можно скорее установить «новую версию Zoom»
       
      View the full article
    • Elly
      Автор Elly
      Друзья!
       
      В мессенджере Telegram имеется множество каналов, которые прямо или косвенно связаны с «Лабораторией Касперского». Мы предлагаем вам поучаствовать в викторине о главном телеграмм-канале «Лаборатории Касперского» и узнать почему этот канал называется главным, что происходило на канале, изучить интересные публикации на канале. 
      Для прохождения викторины необходимо зарегистрироваться в Telegram, т. к. иначе ответить на ряд вопросов будет затруднительно.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1000 баллов Одна ошибка — 700 баллов Две ошибки — 500 баллов Баллами можно оплатить лицензии и сувениры в магазине Клуба. 
       
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 22:00 4 июня 2025 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.

      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Mrak (пользователей @Машуня и @Elly включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Elly через систему личных сообщений.

      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза, применить иные меры (вплоть до блокировки аккаунта) в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины, передачи ответов на викторину иным участникам. При ответе на вопросы викторины запрещается использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Вопросы по начислению баллов, принимаются в течение 30 дней с момента подведения итогов викторины. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
    • KL FC Bot
      Автор KL FC Bot
      Технологию ключей доступа (КД, passkeys) рекламируют все ИТ-гиганты как эффективную и удобную замену паролям, которая может покончить с фишингом и утечками учетных данных. Суть в следующем — человек входит в систему при помощи криптографического ключа, сохраненного в специальном аппаратном модуле на его устройстве, а разблокирует эти данные при помощи биометрии или ПИН-кода. Мы подробно разобрали текущее положение дел с passkeys для домашних пользователей в двух статьях (терминология и базовые сценарии использования, сложные случаи), но у компаний к ИБ-технологиям совершенно другие требования и подходы. Насколько хороши ключи доступа и FIDO2 WebAuthn в корпоративной среде?
      Мотивы перехода на passkeys в компании
      Как и любая крупная миграция, переход на ключи доступа требует бизнес-обоснования. В теории passkeys решают сразу несколько злободневных проблем:
      Снижают риски компрометации компании с использованием кражи легитимных учетных записей (устойчивость к фишингу — главное заявленное преимущество КД). Повышают устойчивость к другим видам атак на identity, таким как перебор паролей — brute forcing, credential stuffing. Помогают соответствовать регуляторным требованиям. Во многих индустриях регуляторы обязуют применять для аутентификации сотрудников устойчивые методы, и passkeys обычно признаются таковыми. Снижают затраты. Если компания выбрала passkeys, хранящиеся в ноутбуках и смартфонах, то высокого уровня безопасности можно достичь без дополнительных затрат на USB-устройства, смарт-карты, их администрирование и логистику. Повышают продуктивность сотрудников. Хорошо налаженный процесс аутентификации повседневно экономит время каждому сотруднику и снижает процент неудачных входов в ИТ-системы. Также переход на КД обычно увязывают с отменой всем привычных и ненавистных регулярных смен пароля. Снижают нагрузку на хелпдеск за счет уменьшения числа заявок, связанных с забытыми паролями и заблокированными учетными записями.  
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Переход на ключи доступа (КД, passkeys) сулит организациям экономически эффективный способ надежной аутентификации сотрудников, увеличение продуктивности и достижение регуляторного соответствия. Все за и против этого решения для бизнеса мы подробно разобрали в отдельной статье. Но на успех проекта и саму его возможность влияют технические подробности и особенности реализации технологии в многочисленных корпоративных системах.
      Поддержка passkeys в системах управления identity
      Перед тем как решать организационные проблемы и писать политики, стоит разобраться, готовы ли к переходу на КД основные ИТ-системы в организации.
      Microsoft Entra ID (Azure AD) полностью поддерживает КД и позволяет администраторам выбрать КД в качестве основного метода входа в систему.
      Для гибридных внедрений, где есть on-prem-ресурсы, Entra ID может генерировать токены Kerberos (TGT), которые затем будет обрабатывать доменный сервер Active Directory.
      А вот для входа через RDP и VDI и входа в AD, работающую только on-premises, нативной поддержки у Microsoft пока нет. Впрочем, с некоторыми ухищрениями организация может записывать passkey на аппаратный токен, например YubiKey, который будет одновременно поддерживать традиционную технологию PIVKey (смарт-карты) и FIDO2. Также для поддержки этих сценариев есть сторонние решения, но организации потребуется оценить, как их применение влияет на общую защищенность и регуляторное соответствие.
      В Google Workspace и Google Cloud есть полная поддержка passkeys.
      Популярные системы управления identity, такие как Okta, Ping, Cisco Duo, RSA ID Plus, поддерживают FIDO2 и все основные формы КД.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Чаще всего фишинговые письма застревают в папке «Спам», потому что сегодня большинство из них легко распознаются почтовыми защитными системами. Но иногда эти системы ошибаются и в корзину попадают настоящие, не мошеннические сообщения. Сегодня расскажем, как распознать фишинговые письма и что с ними делать.
      Признаки фишинговых писем
      Существуют несколько общепринятых признаков, которые могут явно указывать на то, что письмо прислано мошенниками. Вот некоторые из них:
      Яркий заголовок. Фишинговое письмо, вероятнее всего, будет каплей в море вашего почтового ящика. Именно поэтому мошенники обычно стараются выделиться в наименовании словами-триггерами вроде «срочно», «приз», «деньги», «розыгрыш» и всем похожим, что должно побудить вас как можно скорее открыть письмо. Призыв к действию. Разумеется, в таком письме вас будут просить сделать хотя бы что-то из этого списка: перейти по ссылке, оплатить какую-нибудь ненужную вещь, посмотреть подробности во вложении. Главная цель злоумышленников — выманить жертву из почты в небезопасное пространство и заставить тратить деньги или терять доступы к аккаунтам. «Истекающий» таймер. В письме может быть таймер: «Перейдите по ссылке, она активна в течение 24 часов». Все подобные уловки — чушь, мошенникам выгодно торопить жертву, чтобы она начала паниковать и менее бережно относиться к своим деньгам. Ошибки в тексте письма. В последний год участились случаи, когда фишинговое письмо приходит сразу на нескольких языках, причем со странными ошибками. Странный адрес отправителя. Если вы живете, например, в России и вам пришло письмо с итальянского адреса — это повод насторожиться и полностью проигнорировать его содержимое. Раньше еще одним верным признаком фишингового письма было обезличенное обращение вроде «Уважаемый пользователь», но мошенники сделали шаг вперед. Теперь все чаще письма приходят адресные, с упоминанием имени жертвы. Их тоже нужно игнорировать.
       
      View the full article
×
×
  • Создать...