Malazragore

Представлена система оценки вероятности использования уязвимостей в реальных атаках ( 1 фото )


Представлена система оценки вероятности использования уязвимостей в реальных атаках Интернет и компьютеры,cvss,epss,уязвимость

Система EPSS позволит организациям определять, может ли уязвимость эксплуатироваться в атаках и нужно ли действительно ее исправлять.

Как известно, неуязвимых систем не бывает. Ежегодно идентификаторы CVE присваиваются тысячам обнаруженных уязвимостей, и следить за каждой новой практически не реально. Как понять, какие из них компаниям следует исправлять в первую очередь, а с какими можно повременить, пытались разобраться специалисты на конференции Black Hat USA, проходившей на прошлой неделе в Лас-Вегасе.

Эксперты компании Kenna Security Майкл Ройтман (Michael Roytman) и компании Cyentia Institute Джей Джейкобс (Jay Jacobs) назвали управление уязвимостями «злостной проблемой», поскольку оно не соизмеримо с количеством обнаруживаемых уязвимостей. По их словам, каждый месяц исправляется всего 10% от всех уязвимостей. Их слишком много, чтобы компании могли исправить все, поэтому необходимо разработать стратегию, которая решила бы эту проблему, считают специалисты.

Новая стратегия должна помочь организациям разобраться, какие уязвимости действительно необходимо исправлять. Теоретически, в этом должна помочь система оценки CVSS – чем выше оценка, тем серьезнее проблема. Тем не менее, все уязвимости, получившие 7 и выше баллов согласно CVSS, считаются критическими. Таких «критических» уязвимостей все равно слишком много и понять, какие из них должны быть в приоритете, невозможно. «CVSS просто DoS-ит ваши политики установки патчей и заставляет бросать деньги на ветер», — отметили Ройтман и Джейкобс.

По словам исследователей, только 2-5% от всех критических уязвимостей действительно эксплуатируются в реальных атаках. Поэтому нужно создать систему оценки опасности уязвимостей, которая принимала бы в учет потенциальную возможность их эксплуатации на практике.

Такой системой может стать Exploit Prediction Scoring System (EPSS), представленная Ройтманом и Джейкобсом на Black Hat USA. Для определения возможности реальной эксплуатации уязвимости EPSS использует более десятка критериев. Сюда входит CVE, оценка CVSS, наличие PoC-эксплоитов и эксплоитов, используемых киберпреступниками, операционная система, вендор и прочие переменные. Учтя все вышеперечисленные критерии, EPSS выдает процент вероятности эксплуатации той или иной уязвимости в реальных атаках.

Исследователи выпустят свою систему в виде как алгоритма для реализации в других продуктах, так и online-калькулятора .

Взято: Тут

+49
  • 0
  • 696
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno