{"id":4100,"title":"\u041a\u0430\u043a \u0443\u0441\u0442\u0440\u043e\u0435\u043d\u044b \u0441\u0442\u0430\u0440\u0442\u0430\u043f-\u043a\u043e\u043c\u0430\u043d\u0434\u044b \u00ab\u0420\u0430\u0439\u0444\u0444\u0430\u0439\u0437\u0435\u043d\u0431\u0430\u043d\u043a\u0430\u00bb","url":"\/redirect?component=advertising&id=4100&url=https:\/\/vc.ru\/promo\/248133&hash=a7b0a088930ad5bdf26d69e10462a67c204c2ce1406f5fed55f5834263220fe6","isPaidAndBannersEnabled":false}

«How-to»: 4 шага по сокращению уязвимостей

Все специалисты по кибербезопасности, использующие сканеры уязвимостей, сталкиваются с проблемой при сканировании узлов своей инфраструктуры - количество уязвимостей стремится к бесконечности.

Эксперт по кибербезопасности компании InnoSTage – Александр Борисов, поделился своим use-case опытом, который поможет администраторам безопасности в их ежедневной работе.

Было придумано множество полезных способов обходить эти проблемы: мониторинг неустановленных обновлений, устранение уязвимостей только с метрикой CVSS (Common Vulnerability Scoring System)>9 и т.д. Однако, эти подходы имеют определённые недостатки, поскольку не отражают значимость уязвимости с точки зрения злоумышленника. Безусловно, существуют готовые решения, позволяющие выстраивать векторы атак злоумышленников на результатах работы тех или иных сканеров. Такие системы помогают сводить список уязвимостей к минимуму, но имеют два существенных «недостатка»: требуют существенных финансовых вложений и высокой квалификации персонала.

Предлагаю четыре шага, которые позволят сократить количество приоритетных уязвимостей с астрономических высот до адекватных чисел без высоких финансовых вложений.

Шаг 1 – формируем критерии для уязвимостей, которые считаем самими важными.

Как понять, что является самым важным? Тут в голову приходит абстрактная модель злоумышленника: есть сетевой доступ к объекту, есть навыки по эксплуатации хотя бы частично описанных уязвимостей. Возьмем данную модель за основу и переходим к следующему шагу.

Шаг 2 – определение базовых метрик уязвимости.

Базовые метрики - используются для описания основополагающих сведений об уязвимости — возможности эксплуатации уязвимости и воздействии уязвимости на систему.

У каждой известной уязвимости программного обеспечения имеется базовая метрика CVSS, в которой есть стандартизированное описание этой самой уязвимости.

Рассматривать описание всех базовых и временных метрик CVSSv2 и CVSSv3 не будем, об этом уже достаточно написано. Для любознательных, оставлю ссылки на первоисточник CVSSv2 (ссылка) и CVSSv3 (ссылка). Давайте остановимся на самых интересных метриках CVSS.

1. Метрика AV (Access Vector) – описывает возможный способ эксплуатации (сетевой, смежная сеть, локальный, физический).

Network/Adjacent Network (AV:N, AV:A) интересует нас в первую очередь т.к. предполагает сетевую доступность для злоумышленника. Локальную и физическую доступность рассматривать не будем. Если злоумышленник получил физический доступ к оборудованию, тут уже только чудо поможет. Если же получил локальный доступ, вариантов действий у злоумышленника так же довольно много, и они могут не предполагать дальнейшего повышения привилегий и локальной эксплуатации уязвимости.

2. Метрика Access Complexity (AC) – описывает сложность эксплуатации уязвимости (низкая, средняя, высокая). На мой взгляд, весьма полезная, но субъективная метрика.

Предлагаю рассматривать AC:L и AC:M, т.к в случае AC:H участвует довольно большое количество факторов, которые могут препятствовать успешной эксплуатации уязвимости.

3. Метрика Authentication (Au) – в CVSSv2 Authentication (Au) описывает требования к аутентификации (однократная, несколько раз, аутентификация не нужна). В CVSSv3 Privileges Required (PR) метрика претерпела изменения и показывает необходимые привилегии для эксплуатации уязвимости (высокие, средние и без привилегии).

Нам интересен следующий случай:

CVSSv2 Au:N – для эксплуатации аутентификация не нужна.

CVSSv3 Pr:N – для эксплуатации привилегии не нужны в системе.

Уязвимости, которые требуют аутентификации или привилегий в том или ином варианте предлагаю исключить т.к. они предполагают, что злоумышленник уже повысил себе привилегии или скомпрометировал УЗ.

4. Метрика User Interaction (UI) – появилась в CVSSv3 и описывает необходимость взаимодействия с пользователем (с взаимодействием, без взаимодействия).

Нам интересно только UI:N – уязвимость не требующая взаимодействия с пользователем. Уязвимости UI:R требуют элемента социальной инженерии. Данную категорию предлагаю исключить т.к. социальная инженерия всегда дает исключительные возможности для злоумышленника и без использования уязвимостей.

Итого по базовым метрикам:

Внимание должны привлекать уязвимости, попадающие под следующие критерии:

CVSSv2 AV:[NA]; AC:LM; Au:N

CVSSv3 AV:[NA]; AC:LM; Pr:N; UI:N

Какую итоговую метрику получаем? Посчитаем метрику при помощи калькулятора: https://bdu.fstec.ru/calc . Получаем детектирование потенциально опасной уязвимости от уровня 5.7 для CVSSv2:

Шаг 3 – оценка временных метрик уязвимостей.

Временные метрики - при их оценке учитываются параметры, которые изменяются со временем, например, опасность уязвимости снижается с выходом официального обновления безопасности.

Из всех временных метрик нас будет интересовать только exploitability - возможности эксплуатации.

E:H – существует эксплойт (публично описан метод эксплуатации / общедоступны детали работы эксплойта) позволяющий эксплуатировать уязвимость в автоматизированном виде. №1 в списке на устранение т.к. может быть эксплуатирован в том числе и ВПО (компьютерные черви и вирусы).

E:F – Функциональный эксплойт существует, работает не всегда. Успешность зависит от окружения.

E:POC – стабильная эксплуатация эксплойта невозможна, уязвимость эксплуатируется в лабораторных условиях. Необходима доработка эксплойта для попыток реализовать атаку в боевой инфраструктуре. Несмотря на то, что в CVSSv2 предполагается что доработку эксплоитов может производить только злоумышленник обладающей серьезной компетенцией, такое исключать не стоит.

ND/X – тот случай, который нас не интересует, такие можно сразу исключать.

Итого по временным метрикам:

E:[H, F,POC] – наличие такой метрики явный сигнал к устранению уязвимости.

Шаг 4 – проверка метрик по базе MITRE ATT&CK

MITRE ATT&CK – общедоступная база знаний о тактиках поведения киберпреступников, основанная на реальных наблюдениях.

База MITRE ATT&CK содержит указание на некоторые используемые уязвимости. Наличие уязвимости в матрице – достаточное условие для ее устранения, несмотря на возможное отклонение от подхода, описанного выше.

Уязвимости, вошедшие в MITRE ATT&CK, попадают туда в результате их использования в различных фреймворках, ВПО, известными хакерскими группировками, что дополнительно увеличивает интерес к данным уязвимостям злоумышленников и, как следствие, должно вызвать наше повышенное внимание.

Например, один из описанных методов - https://attack.mitre.org/techniques/T1068/ - повышение привилегий. В примере мы видим, что уязвимость CVE-2014-4076 была использована группировкой APT28. И хотя она имеет CVSSv2: (AV:L/AC:L/Au:N/C:C/I:C/A:C), что не подходит по метрике AV:L, использование данной уязвимости хакерами является основанием для включения ее в список на устранение.

Ниже мои рекомендации для CVSSv2 и для CVSSv3, что выбирать и с чем работать – вопрос личных предпочтений, уже имеющихся скриптов, настроенных интеграций и т.д.

1. Первая очередь

CVSS = 9-10

Временная метрика для CVSSv2 E:[H,F,POC]

Временная метрика для CVSSv3 E:[H,F,P]

2. Вторая очередь

Базовая метрика:

Для CVSSv2 AV:[N,A]/AC:[LM]/AU:N

Для CVSSv3 AV:[N,A]/AC:L/Pr:N/UI:N

Временная метрика для CVSSv2 E:[H,F,POC]

Временная метрика для CVSSv3 E:[H,F,P]

3. Уязвимости упомянуты в MITRE ATT&CK

Ниже представим реализацию такого подхода на примере одной инфраструктуры.

Исходные данные: результаты сканирования инфраструктуры с учетной записью и без учетной записи. Для нашего примера рассмотрим только CVSSv2.

Выявленные уязвимости:

Разложим уязвимости по полочкам:

После удаления дублей количество уязвимостей из MITRE в этой инфраструктуре оказалось 0. Эти уязвимости попадали либо в первую группу, либо во вторую.

На выходе мы получаем:

­ уязвимостей первой очереди на устранение 9,

­ второй очереди на устранение 25.

Это дает нам 1,23% от общего количества уязвимостей и 3,51% от уязвимостей высокого уровня.

Итог

Экономит ли это нам время на понимание, куда бежать и что делать? Да, безусловно. Приносит ли это некоторую ясность в процесс управления уязвимостей? Да.

Использование такого подхода позволяет оперативно выделить уязвимости, которые должны были быть закрыты уже «вчера». При этом, надо понимать, что уязвимости, которые не попали в данную выборку – все так же представляют угрозу для информационной безопасности исследуемого объекта, и устранять их тоже надо.

Ссылки на дополнительные материалы:

{ "author_name": "Халилова Ксения", "author_type": "self", "tags": [], "comments": 0, "likes": -2, "favorites": 3, "is_advertisement": false, "subsite_label": "services", "id": 139379, "is_wide": false, "is_ugc": true, "date": "Fri, 03 Jul 2020 17:46:05 +0300", "is_special": false }
0
0 комментариев
Популярные
По порядку
Читать все 0 комментариев
Учимся подглядывать в портфель Баффета и не только

Наверняка каждый инвестор интересовался, куда инвестируют крупные фонды или известные профессионалы: Билл Гейтс, Уоррен Баффет, Джордж Сорос или Рэй Далио. Узнать все это можно и достаточно просто.

Умер Джон Макафи, создатель антивируса McAfee — его нашли мёртвым в тюремной камере Статьи редакции

По предварительным данным, он совершил самоубийство.

Привычки и установки, которые «убивают» вас как профессионала и человека

Правильнее, конечно, было бы перечислять в обратном порядке — человека и профессионала, потому что установки и черты характера первичны, но раз уж мы на профессиональном ресурсе, то будем соблюдать политес… :-)

Власти Москвы обязали отстранять непривившихся сотрудников от работы и анонсировали «сплошные проверки» Статьи редакции

Сотрудников без прививки можно перевести на удалёнку, но они будут учитываться в штате для определения доли привитых.

Как прокачать команду, компанию и экологию: акселератор, который понравился бы Кофи Аннану

Рассказываем о простом и классном проекте, благодаря которому METRO развивает сотрудников и генерирует инициативы по устойчивому развитию.

Два месяца без UGC контента. Что стало с Зайцами?

Как мы уже сообщали ранее, два месяца назад мы приняли решение удалить UGC контент с нашего сайта и приложений.

Что внутри у Алены: разбираем чат-бота по косточкам
В Москве до 12 июля разрешили сидеть на летних верандах кафе без предъявления QR-кодов Статьи редакции

Дети смогут ходить в кафе без кодов, если будут вместе со взрослыми.

В Alser майнят криптовалюту на продаваемых ноутбуках

Заметил, что в зале стоит гул, думал, где-то работает пылесос, убираются, но чем ближе подходил, тем сильнее убеждался, что звук исходит от стойки с игровыми ноутбуками.

Мы работаем удаленно уже 5 лет. Вот что об этом думают сотрудники
МВД запустило в пяти российских регионах систему распознавания силуэтов людей и машин Статьи редакции

В каких именно регионах, разработчики не уточнили.

Комментарии
null