Введение: Управление уязвимостями на основе оценки рисков в соответствии с Законом о киберустойчивости
Современные команды уже понимают, что устранить все уязвимости невозможно. Действительно важно исправлять только те, которые действительно необходимы. Вот почему управление уязвимостями на основе оценки рисков Этот подход стал предпочтительным для команд DevSecOps. Однако в Европейском Союзе это уже не просто передовая практика. Закон о киберустойчивости вводит конкретные юридические обязательства, особенно когда программное обеспечение включает в себя проблемы, перечисленные в CISКаталог известных эксплуатируемых уязвимостей.
В этом новом контексте приоритезация уязвимостей перестает быть вопросом безопасности и становится требованием соответствия нормативным требованиям. Команды должны доказать, что понимают, какие уязвимости активно используются злоумышленниками и как они определяют, что следует исправлять в первую очередь.
Управление уязвимостями на основе оценки рисков и известные эксплуатируемые уязвимости
Управление уязвимостями на основе оценки рисков фокусируется на реальном уровне риска, а не на степени серьезности угрозы. Вместо того чтобы рассматривать все уязвимости одинаково, команды расставляют приоритеты, исходя из возможности эксплуатации, доступности и воздействия.
Выполнить эту задачу быстро, просто и качественно помогает решение известные эксплуатируемые уязвимости играют центральную роль. Когда в сети появляется уязвимость CVE, CISКаталог известных эксплуатируемых уязвимостейЭто подтверждает, что злоумышленники уже используют его в реальных условиях. Этот сигнал имеет гораздо больший вес, чем теоретический показатель.
Если вам нужно более подробное объяснение того, что такое KEV и как их распознать, вы можете прочитать нашу предыдущую статью. Известные эксплуатируемые уязвимости: что исправить в первую очередьВ этой статье мы сосредоточимся на том, как KEV вписываются в модели соответствия и приоритезации в рамках Закон о киберустойчивости.
Что на самом деле требует Закон о киберустойчивости
Закон о киберустойчивости устанавливает обязательные требования по кибербезопасности для товаров с цифровыми элементами, продаваемых в ЕС. Согласно официальной документации ЕС:
- https://www.european-cyber-resilience-act.com/
- https://digital-strategy.ec.europa.eu/en/policies/cyber-resilience-act
Производители обязаны:
- Выявление и устранение уязвимостей на протяжении всего жизненного цикла продукта.
- Предотвратить доставку программного обеспечения с помощью известные эксплуатируемые уязвимости
- При обнаружении эксплуатации необходимо своевременно принять меры по устранению последствий.
- Сохраняйте доказательства обработки уязвимостей.cisионы
Иными словами, как только в системе обнаруживается уязвимость, CISКаталог известных эксплуатируемых уязвимостейИгнорирование этого приводит к как риски безопасности, так и риски регулирования.
Что такое Закон о киберустойчивости (CRA)?
Закон о киберустойчивости Это регламент ЕС, определяющий обязательные требования кибербезопасности для программного обеспечения и цифровых продуктов, продаваемых в Европе. Он требует от поставщиков управлять уязвимостями на протяжении всего жизненного цикла продукта и избегать выпуска программного обеспечения с уязвимостями. известные эксплуатируемые уязвимости.
Контрольный список приоритетности уязвимостей, готовых к применению в соответствии с требованиями CRA.
| Требование | Чего ожидает CRA | Лучшие практики для команд |
|---|---|---|
| Используйте осведомленность | Предотвратите распространение программного обеспечения с известными уязвимостями, используемыми злоумышленниками. | Автоматическое сопоставление результатов с CISКаталог известных эксплуатируемых уязвимостей |
| Приоритизация на основе рисков | Сосредоточьтесь на уязвимостях, которые создают реальные риски для безопасности. | Сочетание KEV, EPSS, доступности и подверженности риску активов. |
| Своевременное устранение последствий | Внедряйте исправления без неоправданной задержки, как только станет известно об уязвимости. | Определите соглашения об уровне обслуживания (SLA) для устранения неполадок в достижимых ключевых элементах системы (KEV) и обеспечьте их соблюдение. CI/CD |
| Непрерывный мониторинг | Устранение уязвимостей на протяжении всего жизненного цикла продукта. | Проводите непрерывное сканирование кода, зависимостей и pipelines |
| Освободить элементы управления | Избегайте выпуска продуктов с активно используемыми уязвимостями. | Блокировка слияний или развертываний, когда ключевые элементы кода (KEV) затрагивают доступный код. |
| Decisотслеживаемость ионов | Докажите, как уязвимость деcisбыли образованы ионы | Ведите журналы аудита для обнаружения, определения приоритетов и принятия мер по устранению проблем. |
| Интеграция с разработчиками | Меры безопасности не должны нарушать рабочие процессы разработки. | Приоритизация поверхностей непосредственно в pull requests и КИ pipelines |
| Ответственность за жизненный цикл | Обеспечьте безопасность после выпуска. | Отслеживайте изменения KEV и EPSS для выпущенных версий. |
Почему электромобили играют ключевую роль в соблюдении требований CRA
CISКаталог известных эксплуатируемых уязвимостей В списке указаны уязвимости CVE, которые злоумышленники уже используют в реальных условиях. Другими словами, это устраняет неоднозначность при определении приоритетов.
Вместо вопроса «Можно ли это использовать в своих целях?», командам теперь необходимо задавать гораздо более прямой вопрос:
«Это уже используется злоумышленниками, и мы всё равно будем это распространять?»
В соответствии с Законом о киберустойчивости это различие имеет юридическое значение. В результате ключевые уязвимости становятся наиболее сильным фактором, обязывающим заключать соглашения об уровне обслуживания (SLA) по устранению уязвимостей и блокировать выпуск новых версий. В этом контексте управление уязвимостями на основе оценки рисков естественным образом соответствует требованиям регулирующих органов.
Системы CVSS, EPSS и KEV служат разным целям.
Для правильной расстановки приоритетов командам необходимо сначала понять, что на самом деле означает каждый сигнал.
- CVSS показывает потенциальное воздействие
- ЭПСС оценки вероятности эксплуатации
- CISКаталог известных эксплуатируемых уязвимостей подтверждает, что эксплуатация уже происходит.
Каждый показатель сам по себе может ввести в заблуждение. Однако, когда команды используют их вместе, они получают гораздо более четкий контекст. По этой причине сочетание этих сигналов составляет основу эффективного управления уязвимостями на основе оценки рисков.
Управление уязвимостями на основе оценки рисков на практике
На практике модель приоритезации, основанная на оценке рисков, следует четкому и повторяемому алгоритму.
- Выявление уязвимостей в коде и зависимостях.
- Проверьте матчи против CISКаталог известных эксплуатируемых уязвимостей
- Оцените вероятность эксплуатации уязвимости с помощью EPSS.
- Проверьте доступность вашего приложения или pipeline
- Применяйте правила устранения последствий в зависимости от степени воздействия и роли продукта.
В результате команды перестают рассматривать списки уязвимостей как статичные бэклоги и начинают рассматривать их как конкретные задачи по обеспечению безопасности.cisионов.
Различные модели приоритезации, используемые командами сегодня.
Не все команды одинаково расставляют приоритеты в отношении риска. В целомТаким образом, мы видим три распространенные модели в реальных условиях.
1. Модель оценки тяжести заболевания в первую очередь
Команды устраняют неполадки, основываясь исключительно на CVSS.
Эта модель проста в применении. Однако она создает информационный шум и не соответствует требованиям Закона о киберустойчивости.
2. Модель, основанная на вероятности
Команды полагаются на EPSS для прогнозирования того, какие уязвимости могут быть использованы злоумышленниками в дальнейшем.
Такой подход повышает концентрацию внимания. Тем не менее, он по-прежнему упускает из виду уязвимости, которые злоумышленники уже используют.
3. Модель, учитывающая особенности эксплуатации
Команды объединяют EPSS с CISКаталог известных эксплуатируемых уязвимостей и технический контекст.
Напротив, эта модель наилучшим образом поддерживает управление уязвимостью на основе оценки рисков и напрямую соответствует обязательствам CRA.
Как компания Xygeni внедряет приоритезацию готовности к сотрудничеству с клиническими исследователями
Xygeni помогает командам превратить соблюдение нормативных требований в повседневный рабочий процесс.
Скорее чем полагаясь только на dashboards, Xygeni принуждает к деcisточно определяет места, где происходят изменения в коде. Как результатПриоритизация становится автоматической и последовательной.
Основные возможности включают в себя:
- Автоматическая корреляция с CISКаталог известных эксплуатируемых уязвимостей
- Оценка вероятности эксплуатации на основе EPSS
- Анализ доступности для подтверждения реального воздействия
- Guardrails Блокировка происходит при слиянии или освобождении блоков, когда ключевые элементы кода влияют на доступный код.
- Автоматизированное устранение неполадок с помощью безопасного pull requests
- Полные журналы аудита для демонстрации Закон о киберустойчивости Соответствие закону
Короче говоря, команды не просто видят риски. Они реагируют на них предсказуемым и поддающимся проверке способом.
Пример взаимодействия между разработчиками: KEV блокирует релиз.
Представьте, что обновление зависимостей приводит к появлению уязвимости CVE.
- Уязвимость проявляется в CISКаталог известных эксплуатируемых уязвимостей
- Xygeni обнаруживает это во время pull request
- Анализ достижимости подтверждает, что путь выполнения кода завершен.
- Guardrails автоматически блокировать слияние
- Бот предлагает безопасное обновление и запускает тесты.
Разработчик решает проблему в рамках того же рабочего процесса. Релиз остается соответствующим требованиям. Никаких совещаний не требуется.
Иными словами, это управление уязвимостями на основе оценки рисков, применяемое именно там, где уже работают разработчики.
Почему это важно не только с точки зрения соблюдения нормативных требований
Несмотря на то, Закон о киберустойчивости Если этот сдвиг был инициирован, то и преимущества будут более значительными.
Команды, которые отдают приоритет использованию ключевых элементов, EPSS и контекста:
- Уменьшить усталость от бдительности
- Сокращение времени на устранение последствий.
- Избегайте использования аварийных пластырей.
- С уверенностью распространяйте более безопасное программное обеспечение.
В целом, соответствие требованиям становится естественным результатом правильного подхода к обеспечению безопасности.
Заключительные мысли: CRA делает управление рисками обязательным.
Закон о киберустойчивости формализует то, что команды специалистов по безопасности уже усвоили на собственном горьком опыте. Не все уязвимости одинаково важны.
CISКаталог известных эксплуатируемых уязвимостей Определяет, что используют злоумышленники сегодня. EPSS прогнозирует, что они будут использовать в будущем. Контекст показывает, касается ли это вас.
Вместе они образуют современный управление уязвимостями на основе оценки рисков.
Xygeni помогает командам применять эту модель непрерывно, автоматически и таким образом, чтобы разработчики действительно ее принимали.
Об авторе
Написано Фатима Said, менеджер по контент-маркетингу, специализирующийся на безопасности приложений в Ксигени Секьюрити.
Фатима создает удобный для разработчиков контент на основе исследований по AppSec, ASPMи DevSecOps. Она преобразует сложные технические концепции в понятные и применимые на практике идеи, связывающие инновации в области кибербезопасности с влиянием на бизнес.
