Nawet najlepiej wyposażone i dysponujące odpowiednimi zasobami zespoły IT nie są w stanie usunąć wszystkich podatności w infrastrukturze.

W 2021 r. zgłoszono rekordową liczbę 20 130 podatności w oprogramowaniu - średnio 55 dziennie. Jednak tylko 4% z nich stanowiło wysokie ryzyko dla organizacji.

Zobacz również:

• Idealne miejsce dla rozwoju pracowników
• Raport Sophos - hakerzy celują w Active Directory
• Nie żyje jeden z najsłynniejszych hakerów na świecie

Najnowsze badanie przeprowadzone przez Kenna Security, obecnie część Cisco, oraz Cyentia Institute, pokazuje, że prawidłowe nadanie priorytetu jest bardziej efektywne niż zwiększenie zdolności organizacji do łatania luk. Zastosowanie obu tych metod jednocześnie może 29-krotne zmniejszyć ryzyko wykorzystania luk do przeprowadzenia skutecznego ataku. „Exploity w cyberprzestrzeni były kiedyś najlepszym wskaźnikiem tego, które luki w zabezpieczeniach powinny być traktowane priorytetowo. Teraz możemy dodatkowo określić prawdopodobieństwo, czy dana organizacja zostanie zaatakowana, co od dawna było w naszych planach i dążeniach” – mówi Ed Bellis, współzałożyciel i dyrektor ds. technologii w firmie Kenna Security.

Możliwości wykorzystania podatności do ataku na organizacje zostały określone przy użyciu otwartego systemu EPSS (Exploit Prediction Scoring System). Jest to międzybranżowy projekt, w którego skład wchodzą Kenna Security i Cyentia Institute, zarządzany przez FIRST.org.

Wnioski z badania są zgodne z ostatnią dyrektywą Agencji ds. Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA - Cybersecurity and Infrastructure Security Agency), która sugeruje, że lepiej jest odejść od ustalania priorytetów w usuwaniu luk w oparciu o wyniki CVSS i zamiast tego skupić się na podatnościach wysokiego ryzyka.

Kluczowe wnioski:

• Prawie wszystkie (95%) zasoby IT posiadają co najmniej jedną podatność, którą można łatwo wykorzystać.

• Popularny social listening, czyli wykorzystanie wzmianek na Twitterze w celu nadania priorytetów poprawkom oprogramowania jest dwa razy bardziej skuteczne w ograniczaniu wykorzystywania luk niż standardowy system oceny podatności CVSS (Common Vulnerability Scoring System). Nadawanie priorytetów podatnościom za pomocą kodu exploita jest 11 razy bardziej efektywne niż CVSS w minimalizowaniu możliwości ich wykorzystania.

• Większość (87%) organizacji posiada otwarte podatności w co najmniej jednej czwartej swoich aktywnych zasobów, a 41% z nich wykazuje podatności w trzech na cztery zasoby.

• W przypadku zdecydowanej większości (62%) podatności istnieje mniej niż 1% szans, że zostaną one wykorzystane przez cyberprzestępców. Tylko dla 5% znanych podatności prawdopodobieństwo to przekracza 10%.

Cały raport do pobrania tutaj Od priorytetyzacji do predykcji Tom 8: Pomiar i minimalizacja podatności na ataki, tom 8: Pomiar i minimalizacja podatności na exploity.