Специалисты ограничены в своей способности получать информацию, необходимую для эффективной защиты бизнес-активов.
Команды безопасности предприятий испытывают трудности с отказом от простого выявления уязвимостей и переходом на эффективное реагирование и устранение. К такому выводу пришли специалисты ИБ-компании Vulcan Cyber по результатам нового исследования , посвященного корпоративным программам приоритизации и устранения угроз безопасности.
Как показало исследование, руководство предприятий и специалисты в области управления IT ограничены в своей способности получать важную информацию, необходимую для эффективной защиты ценных бизнес-активов, что делает программы управления уязвимостями в значительной степени неэффективными.
Оценка рисков вне контекста бизнеса бесполезна. Большинство участников опроса Vulcan Cyber склонны сортировать уязвимости по инфраструктуре (64%), бизнес-функциям (53%) и приложениям (53%). Это вызывает беспокойство, поскольку приоритизация рисков на основе сортировки по инфраструктуре и приложениями вне контекста активов не имеет смысла. Неспособность соотнести данные об уязвимостях с реальным риском для бизнеса оставляет организации незащищенными.
Подавляющее большинство лиц, ответственных за принятие решений, оценивают и приоритизируют уязвимости по двум или более моделям: общая система оценки уязвимостей CVSS (71%), топ-10 OWASP (59%), сканер уязвимостей сообщил о серьезной проблеме (47%), топ-25 CWE (38%) или модели, сделанные на заказ (22%). Для обеспечения значимого управления киберрисками идеально подходит и наиболее эффективна индивидуальная модель оценивания и приоритизации, учитывающая несколько отраслевых стандартов.
Чем больше у группы безопасности контроля над оценкой и приоритизацией рисков, тем эффективнее они могут их снижать. Однако общеотраслевой основы для управления уязвимостями на основе рисков по-прежнему не существует, а значит, кибергигиена по-прежнему не соответствует требованиям, а уязвимости продолжают создавать риски.
Большинство участников опроса (54%) считают утечку конфиденциальных данных самой серьезной угрозой, к которой могут привести уязвимости в приложениях. Далее следуют некорректная аутентификация (44%), некорректная конфигурация механизмов безопасности (39%), недостаточное журналирование и мониторинг (35%) и инъекции (32%).
Наибольшее беспокойство у участников опроса вызывает уязвимость CVE-2014-6324 в Microsoft Windows. Примечательно, что ее боятся даже больше, чем более опасные уязвимости в Windows SMB, CVE-2019-0708 (BlueKeep), CVE-2014-0160 (Heartbleed) и EternalBlue.
Исследование было проведено до раскрытия уязвимости Log4shell в утилите журналирования Log4J, поэтому она в отчете исследователей не фигурирует.
Источник: securitylab