Positive Technologies: один пилотный проект выявил более 700 трендовых уязвимостей

Компания Positive Technologies представила результаты анализа пилотных проектов по внедрению MaxPatrol VM, проведенных в государственных учреждениях, финансовых организациях, промышленных и других компаниях с начала 2022 года по февраль 2023 года.

В ходе исследования на одном пилотном проекте в среднем было выявлено более 700 трендовых уязвимостей. Результаты внедрения показали, что в большинстве организаций допускаются ошибки в приоритизации активов, отсутствует регулярное обновление данных о них, а в трети компаний встречаются просроченные уязвимости.

Одной из главных проблем, выявленных в ходе пилотных проектов, является недостаточная классификация активов, то есть их разделение по уровню значимости для организации — участника проекта. В 80% проектов имелись активы, уровень важности которых не был определен, — это повышает риск оставления важных систем без должной защиты. Эксперты Positive Technologies рекомендуют начать процесс управления уязвимостями с оценки и классификации активов, чтобы выделить наиболее значимые из них и обеспечить их приоритетную защиту.

Как отмечают аналитики компании, около четверти компаний выстроили процесс приоритизации выявленных уязвимостей без учета важности активов, на которых они были обнаружены. Кроме того, специалисты заявляют, что В 76% проектов при формировании политик устранения не учитывался уровень опасности уязвимости, а в 59% не рассматривалось наличие публичного эксплойта.

«Мы советуем обращать внимание в числе прочего и на популярность уязвимости среди злоумышленников — ее трендовость. Часто популярность обретают недавно опубликованные уязвимости, для которых еще не выпущены обновления безопасности. Однако трендовыми могут быть и уязвимости прошлых лет — по нашим данным, они продолжают быть актуальными и активно применяются атакующими. Такие уязвимости стоит устранять в первую очередь, поскольку злоумышленники часто используют их в цепочках атак, и для многих из них существует публичный эксплойт», - рекомендуют эксперты.

В ходе пилотных проектов трендовые уязвимости были обнаружены в 36% активов высокой значимости, в среднем четыре уязвимости на один актив. Чаще всего они встречались в компонентах Windows и других продуктах Microsoft.

Другой выявленной проблемой стала неактуальность информации об активах. В 75% компаний данные об активах не обновлялись вовремя — из-за этого пропускались сканирования и некоторые уязвимости не были обнаружены. Positive Technologies рекомендует регулярно проводить инвентаризацию активов, чтобы поддерживать информацию в актуальном состоянии и обеспечивать своевременное обнаружение и устранение уязвимостей.

Как показало исследование Positive Technologies, большинство компаний допускают ошибки в приоритизации уязвимостей, то есть не учитывают значимость активов и уровень опасности уязвимостей при формировании политик устранения. Это может привести к пропуску наиболее опасных для инфраструктуры уязвимостей.

Во всех исследованных организациях минимальные сроки устранения уязвимостей оказались больше, чем время, через которое злоумышленники начинают использовать уязвимости в атаках. Специалисты рекомендуют устанавливать минимальные сроки устранения уязвимостей на активах высокой значимости, особенно при обнаружении трендовых и критически опасных уязвимостей.

По результатам пилотных проектов были также выявлены серьезные проблемы, связанные с несвоевременным устранением недостатков в информационных системах. В каждой третьей компании нарушалась политика устранения уязвимостей, при этом около 30% активов высокой значимости содержали в среднем семь просроченных трендовых уязвимостей. По мнению экспертов, несоблюдение специалистами по информационной безопасности заданных сроков облегчает задачу злоумышленникам. Компаниям необходимо выделять ресурсы на своевременное устранение уязвимостей, сделать этот процесс регулярным и контролируемым.