Команды безопасности редко терпят неудачу из-за недостатка данных. Чаще всего они терпят неудачу, потому что сначала исправляют не те проблемы. Именно поэтому используются такие инструменты, как интеллектуальный анализ известных уязвимостей, управление уязвимостями на основе оценки рисков, Закон о киберустойчивости и другие. CISКаталог известных эксплуатируемых уязвимостей теперь интегрирован в современные рабочие процессы обеспечения безопасности приложений.
Каждую неделю сканеры сообщают о сотнях уязвимостей. Однако злоумышленники используют лишь небольшую их часть. В результате команды, которые расставляют приоритеты без учета контекста эксплуатации уязвимостей, тратят время впустую, в то время как реальные угрозы ускользают от их внимания. Технология Known-Exploit Intelligence устраняет этот пробел, выявляя уязвимости, которые злоумышленники действительно используют, а не только те, которые выглядят серьезными на бумаге.
Что известно — используйте разведданные
Анализ известных уязвимостей выявляет уязвимости, которые злоумышленники активно используют в реальных условиях. Другими словами, он отделяет теоретический риск от подтвержденного поведения при атаке.
Вместо того чтобы спрашивать, является ли это уязвимостью могли бы Если эту уязвимость удастся использовать, команды наконец-то смогут задать вопрос:
Уже используется ли эта уязвимость, и повлияет ли она на мой продукт?
Это различие имеет значение как в оперативной деятельности, так и, все чаще, в юридическом плане.
Почему традиционный метод расстановки приоритетов не работает
Большинство команд по-прежнему полагаются на статические сигналы для определения приоритетов риска.
Как правило, они сортируют уязвимости по следующим критериям:
- Серьезность CVSS
- Уверенность сканера
- Популярность упаковки
Хотя эти сигналы помогают снизить уровень шума, они упускают один критически важный фактор: поведение злоумышленников. В результате команды часто спешат исправить серьезные уязвимости, которые никогда не используются злоумышленниками, и упускают из виду менее серьезные недостатки, которые активно атакуют злоумышленников.
Этот пробел объясняет, почему статическая приоритизация больше не масштабируема.
Почему Закон о киберустойчивости меняет правила игры
Под Закон о киберустойчивостиВ результате, распространение программного обеспечения с известными уязвимостями, которые можно использовать в коммерческих целях, становится не просто проблемой безопасности, а вопросом соответствия нормативным требованиям.
Данное положение требует, чтобы:
- Продукты, содержащие цифровые элементы, не должны поступать на рынок ЕС с известными уязвимостями, которые можно использовать в коммерческих целях.
- Производители внедряют механизмы обработки уязвимостей и контрольные точки доступа.
- Эксплуатация в реальных условиях имеет больший вес, чем теоретическая жестокость.
В результате приоритеты смещаются от передовой практики к юридическим обязательствам.
Именно здесь интеллектуальные возможности становятся крайне важными.
Закон о киберустойчивости
Закон о киберустойчивости Это регламент Европейского союза, устанавливающий обязательные требования кибербезопасности для товаров с цифровыми элементами, продаваемых в ЕС.
Проще говоря, это требует от производителей проектировать, разрабатывать и поддерживать программное обеспечение, которое на момент выпуска не содержит известных уязвимостей, которые можно использовать для взлома. Более того, это обязывает компании отслеживать уязвимости после выпуска и сообщать об активно используемых проблемах в строго установленные сроки.
Регламент вступил в силу в декабре 2024 года. Однако полное его применение начнется в декабре 2027 года. Начиная с 2026 года, компании обязаны сообщать властям ЕС об активно используемых уязвимостях в течение 24 часов с момента их обнаружения.
Иными словами, Закон о киберустойчивости превращает управление уязвимостями из передовой практики в требование для доступа на рынок.
Почему электромобили играют центральную роль в соблюдении требований CRA?
CISКаталог известных эксплуатируемых уязвимостей В этом каталоге перечислены уязвимости CVE, которые злоумышленники уже используют в реальных условиях. Он устраняет неоднозначность.
Вместо обсуждения рисков команды могут полагаться на проверенные данные об использовании уязвимостей. Следовательно, ключевые эксплуатационные возможности становятся наиболее сильным триггером для соглашений об уровне обслуживания (SLA) по устранению проблем и блокировки релизов.
Этот подход естественным образом согласуется с управление уязвимостями на основе оценки рисков, потому что это позволяет сосредоточить усилия там, где действительно причиняется ущерб.
Системы CVSS, EPSS и KEV служат разным целям.
Для эффективной расстановки приоритетов необходимо понимать, чем отличаются сигналы.
- CVSS показывает потенциальное воздействие
- ЭПСС оценивает вероятность эксплуатации
- CISКаталог известных эксплуатируемых уязвимостей подтверждает активную эксплуатацию.
Каждый сигнал по отдельности вводит в заблуждение. Вместе они обеспечивают контекст. Эта комбинация составляет основу современного управления уязвимостями на основе оценки рисков.
Как работает разведка на основе известных уязвимостей на практике
Практическая модель определения приоритетов следует четкой последовательности:
- Выявление уязвимостей в коде и зависимостях.
- Сравните полученные результаты с... CISКаталог известных эксплуатируемых уязвимостей
- Оцените вероятность эксплуатации уязвимости с помощью EPSS.
- Проверьте доступность приложения или pipeline
- Применяйте правила устранения последствий в зависимости от степени воздействия и роли продукта.
В результате команды перестают рассматривать списки уязвимостей как бэклоги и начинают рассматривать их как задачи.cisионов.
Как мы создали систему анализа известных уязвимостей в Xygeni
Мы разработали эту функцию после того, как неоднократно наблюдали, как команды исправляли проблемы с высоким уровнем CVSS, в то время как известные уязвимости, которыми пользовались злоумышленники, попадали в рабочую среду. Этот опыт повлиял на то, как мы проектировали систему.
Благодаря более чем v5.36, Xygeni интегрирует проверенную информацию об эксплойтах непосредственно в механизм приоритезации.
Что происходит под капотом?
- Xygeni постоянно загружает проверенные каталоги эксплойтов, такие как KEV и другие общедоступные источники эксплойтов.
- Каждая уязвимость получает метаданные о наличии эксплойта.
- Воронка приоритезации объединяет в себе:
- Известный статус эксплойта
- Вероятность ЭПСС
- Контекст доступности
- Доступ к коду и зависимостям
Платформа вычисляет сводный показатель риска в реальных условиях.
Вместо замены существующих сигналов, эта модель их уточняет.
Обнаружение → Совпадение с эксплойтом → Доступность → Исправление
Этот поток управляет каждым деcisион:
Разработчики видят контекст эксплойта непосредственно в pull requests. PipelineБлок s объединяется только тогда, когда доступный код содержит известные эксплуатируемые уязвимости. Автоматизированное исправление немедленно предлагает безопасные обновления.
Никаких совещаний. Никаких догадок. Никаких панических пластырей.
Почему это важно не только с точки зрения соблюдения нормативных требований
Хотя этот сдвиг был спровоцирован Законом о киберустойчивости, его преимущества распространяются и на другие сферы.
Команды, которые отдают приоритет использованию информации об уязвимостях:
- Уменьшить усталость от бдительности
- Сокращение времени на устранение последствий.
- Избегайте циклов установки аварийных обновлений.
- С уверенностью распространяйте более безопасное программное обеспечение.
Соответствие требованиям становится побочным эффектом правильного обеспечения безопасности.
Заключительные мысли: CRA делает управление рисками обязательным.
Закон о киберустойчивости формализует то, чему уже научились опытные команды. Не все уязвимости одинаково важны.
CISКаталог известных эксплуатируемых уязвимостей показывает, что используют злоумышленники сегодня. Контекст и доступность указывают, затрагивает ли это вас. Вместе они определяют современную ситуацию. управление уязвимостями на основе оценки рисков.
Компания Xygeni применяет эту модель непрерывно, автоматически и там, где уже работают разработчики.
Об авторе
Написано Фатима SaidМенеджер по контент-маркетингу, специализирующийся на безопасности приложений в компании Xygeni Security. Она создает ориентированный на разработчиков, основанный на исследованиях контент по безопасности приложений. ASPMа также DevSecOps, переводящий реальные проблемы безопасности в четкие и действенные рекомендации.
