W 2021 roku zgłoszono rekordową liczbę ponad 20 tysięcy luk w oprogramowaniu – średnio 55 dziennie

Tak wynika z nowego badania Cisco, Kenna Security i Cyentia Institute.  Analiza ta określa skuteczność różnych strategii zarządzania podatnościami oraz możliwości wykorzystania ich przez całe organizacje, rozszerzając tym samym procedury postępowania w zakresie cyberbezpieczeństwa oparte na analizie ryzyka.

Wspomniane badanie wskazuje, że prawidłowe nadanie priorytetu jest bardziej efektywne niż zwiększenie zdolności organizacji do łatania luk. Z kolei zastosowanie obu tych metod jednocześnie może 29-krotne zmniejszyć ryzyko wykorzystania luk do przeprowadzenia skutecznego ataku, uważają twórcy analizy.

„Exploity w cyberprzestrzeni były kiedyś najlepszym wskaźnikiem tego, które luki w zabezpieczeniach powinny być traktowane priorytetowo. Teraz możemy dodatkowo określić prawdopodobieństwo, czy dana organizacja zostanie zaatakowana, co od dawna było w naszych planach i dążeniach” – powiedział Ed Bellis, współzałożyciel i dyrektor ds. technologii w firmie Kenna Security, będącej obecnie częścią Cisco. „Dzięki temu organizacje mają znacznie większe szanse na skuteczną walkę z potencjalnymi cyberzagrożeniami, a badania pokazują, że nasi klienci każdego dnia z powodzeniem zarządzają ryzykiem związanym z podatnościami” – dodał.

Możliwości wykorzystania podatności do ataku na organizacje zostały określone przy użyciu otwartego systemu EPSS (Exploit Prediction Scoring System). Jest to międzybranżowy projekt, w którego skład wchodzą Kenna Security i Cyentia Institute, zarządzany przez FIRST.org.

Wnioski z badania zgodne są z ostatnią dyrektywą Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA – Cybersecurity and Infrastructure Security Agency), która sugeruje, że lepiej jest odejść od ustalania priorytetów w usuwaniu luk w oparciu o wyniki CVSS i zamiast tego skupić się na podatnościach wysokiego ryzyka. Co ciekawe, analiza pokazuje, że czynniki takie jak kod danego exploita, a nawet wzmianki o nim na Twitterze są lepszymi sygnałami ostrzegawczymi niż wyniki CVSS.

Wspomniane badanie wskazuje również, że:

• Prawie wszystkie (95%) zasoby IT posiadają co najmniej jedną podatność, którą można łatwo wykorzystać.
• Nadawanie priorytetów podatnościom za pomocą kodu exploita jest 11 razy bardziej efektywne niż CVSS w minimalizowaniu możliwości ich wykorzystania.
• Większość (87%) organizacji posiada otwarte podatności w co najmniej jednej czwartej swoich aktywnych zasobów, a 41% z nich wykazuje podatności w trzech na cztery zasoby.
• W przypadku zdecydowanej większości (62%) podatności, istnieje mniej niż 1% szans, że zostaną one wykorzystane przez cyberprzestępców. Tylko dla 5% znanych podatności prawdopodobieństwo to przekracza 10%.