AlexRedSec
@alexredsec
И так, Anthropic предлагает следующую стратегию приоритизации устранения уязвимостей:
Закрыть все уязвимости из каталога CISA KEV; уязвимости с сетевым вектором считаются первоочередными.
Для остальных уязвимостей использовать EPSS и устранять те, у которых значение выше установленного порога.
Патчить публично доступные из сети Интернет системы в течение 24 часов после появления эксплойта; все остальные уязвимости — в течение нескольких дней.
Как видно, рекомендации по приоритизации выглядят "избитыми", а где-то и размытыми. Я уже отмечал выше их очевидность и шаблонность: многие авторитетные эксперты указывают, что значительная часть предложений из статьи Anthropic уже давно воспринимается как базовая практика.
В общем-то, несмотря на очевидность, к первой и последней рекомендациям особых вопросов нет: больше всего вопросов вызывает использование фактически единственного критерия приоритизации — EPSS. Здесь, однако, стоит упомянуть, что в статье Anthropic подчеркивается важность автоматизации процесса установки обновлений, а приоритизация – это мера, которая позволит не утонуть в океане уязвимостей в моменте времени.
В то же время примечательна почти мгновенная реакция Empirical Security на рекомендацию использовать EPSS в статье Anthropic. Оно и понятно: Empirical Security, действуя при поддержке FIRST, фактически стояли у истоков методологии, поэтому они оперативно поддержали (1, 2) рекомендацию, но с важной оговоркой — EPSS даёт «глобальную» оценку вероятности эксплуатации уязвимости в ближайшие 30 дней и не учитывает специфику конкретной организации (контекст инфраструктуры и применяемые меры защиты).
А далее они решили воспользоваться минутой славы и предложили прокачать приоритизацию с помощью их продуктов:
Empirical Global Model – обогащает прогнозы EPSS телеметрией об эксплуатации уязвимостей в сети Интернет в реальном времени. Условно "CISA KEV на стероидах".
Empirical Local Model – по сути Global Model, обогащенная телеметрией конкретной организации (данными об активах, инцидентах, мерах защиты и т.п.)
Выводы:
EPSS как единственный критерий приоритизации бесполезен даже по мнению создателей этой методологии.
Контекст инфраструктуры крайне важен в приоритизации.
Приоритизация не заменяет процесс планового обновления и патч-менеджмента.
#prioritization #vm #epss #context #kev
Закрыть все уязвимости из каталога CISA KEV; уязвимости с сетевым вектором считаются первоочередными.Для остальных уязвимостей использовать EPSS и устранять те, у которых значение выше установленного порога.Патчить публично доступные из сети Интернет системы в течение 24 часов после появления эксплойта; все остальные уязвимости — в течение нескольких дней.Как видно, рекомендации по приоритизации выглядят "избитыми", а где-то и размытыми. Я уже отмечал выше их очевидность и шаблонность: многие авторитетные эксперты указывают, что значительная часть предложений из статьи Anthropic уже давно воспринимается как базовая практика.
В общем-то, несмотря на очевидность, к первой и последней рекомендациям особых вопросов нет: больше всего вопросов вызывает использование фактически единственного критерия приоритизации — EPSS. Здесь, однако, стоит упомянуть, что в статье Anthropic подчеркивается важность автоматизации процесса установки обновлений, а приоритизация – это мера, которая позволит не утонуть в океане уязвимостей в моменте времени.
В то же время примечательна почти мгновенная реакция Empirical Security на рекомендацию использовать EPSS в статье Anthropic. Оно и понятно: Empirical Security, действуя при поддержке FIRST, фактически стояли у истоков методологии, поэтому они оперативно поддержали (1, 2) рекомендацию, но с важной оговоркой — EPSS даёт «глобальную» оценку вероятности эксплуатации уязвимости в ближайшие 30 дней и не учитывает специфику конкретной организации (контекст инфраструктуры и применяемые меры защиты).
А далее они решили воспользоваться минутой славы и предложили прокачать приоритизацию с помощью их продуктов:
Empirical Global Model – обогащает прогнозы EPSS телеметрией об эксплуатации уязвимостей в сети Интернет в реальном времени. Условно "CISA KEV на стероидах".Empirical Local Model – по сути Global Model, обогащенная телеметрией конкретной организации (данными об активах, инцидентах, мерах защиты и т.п.)Выводы:
EPSS как единственный критерий приоритизации бесполезен даже по мнению создателей этой методологии.Контекст инфраструктуры крайне важен в приоритизации.Приоритизация не заменяет процесс планового обновления и патч-менеджмента.#prioritization #vm #epss #context #kev
👍 9
❤ 2
30 1.5K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram