Важливість розуміння інфраструктури керування вразливістю для встановлення пріоритетів заходів безпеки
Share
JP керує дослідницькими та інноваційними командами, які тримають Onapsis на передньому краї ринку безпеки критично важливих бізнес-додатків.
Гетті
Світ працює на програмах планування ресурсів підприємства (ERP). Це може здатися занадто сміливим твердженням, але давайте подивимося, наскільки програми ERP впливають на наше повсякденне життя.
Зосереджуючись на SAP, лідеру ринку ERP, лише її клієнти генерують 87% загального обсягу світової торгівлі, що становить приблизно 46 трильйонів доларів США, і складається з 99 зі 100 найбільших компаній світу.
Враховуючи цю статистику, деякі з найбільших організацій у світі, які впливають на нас, повністю залежать від додатків ERP для роботи та обслуговування людей. Згодом ці програми стали основною частиною їхніх критично важливих систем, оскільки вони буквально підтримують їхню місію.
Ці програми мають життєво важливе значення, але коли мова заходить про безпеку, як ми можемо правильно розставити пріоритети для інвестицій у програми ERP, коли є так багато інших речей, які слід враховувати? Нижче наведено кілька різних стандартів і механізмів для цього.
Загальна система оцінки вразливості
Загальна система оцінки вразливостей (CVSS) визначає технічну серйозність уразливості, а джерела аналізу загроз дають нам інформацію про те, що активно використовується суб’єктами загрози та як. Дослідницькі лабораторії Onapsis, наприклад, надають останнє клієнтам, а також громадськості, працюючи з глобальними CERT(ами), коли існують ризики, які потребують більшого пріоритету.
Але з усіма цими механізмами, чи існує стандарт, який може допомогти зібрати все разом і прийняти рішення про пріоритетність?
Посібник із категоризації вразливостей для зацікавлених сторін
Нещодавно Агентство з кібербезпеки та безпеки інфраструктури США (CISA) випустило Посібник із категоризації вразливостей для зацікавлених сторін (SSVC), який є «налаштованою моделлю дерева рішень, яка допомагає визначити пріоритети реагування на вразливості» і може використовуватися як стандарт для встановлення пріоритетів щодо того, як реагувати на різні вразливості безпеки, на які може вплинути компанія.
Важливість цього інструменту полягає в тому, що він враховує контекст для прийняття рішення про пріоритетність, тому, хоча CVSS забезпечує певний рівень технічного впливу, це стає лише частиною дерева рішень SSVC. На це дерево рішень сильно впливає компонент експлуатації, включно з тим, чи вразливість активно використовується або якщо вона «автоматична».
Ця модель дерева рішень ефективно враховує багато аспектів поточного стану вразливостей системи безпеки, щоб допомогти прийняти рішення щодо реагування — точніше, коли виправляти або застосовувати пом’якшення вразливості. SSVC розглядає такі елементи.
• Дії (коли виправляти).
• Відстеження (у стандартні терміни оновлення).
• Відвідати (швидше, ніж стандартні графіки оновлення).
• Дійте (якнайшвидше).
Коли ми пов’язуємо це з темою ERP-додатків, SSVC також можна застосувати до вразливостей, які впливають на ці типи додатків, хоча він має дуже цікавий компонент як частину свого дерева рішень під назвою «місія та благополуччя». При цьому враховуються наступні два аспекти.
• Вплив на основні функції місії відповідних організацій. (Наскільки вразливий компонент пов’язаний із виконанням місії?)
• Вплив компрометації ураженої системи на людей. (Наскільки вразливий компонент пов’язаний із впливом на суспільний добробут?)
Хоча вплив на суспільний добробут залежить від типу організації та того, як технологія використовується для виконання її місії, вплив на основні функції місії можна простіше класифікувати. Це особливо вірно, коли йдеться про критично важливі для бізнесу програми, оскільки вони важливі для виконання місії більшості організацій. І оскільки компонент «місії та благополуччя» фактично розглядає найвищий з двох своїх компонентів, ми можемо з упевненістю припустити, що для цілей SSVC його вплив на «місію та благополуччя» завжди буде високим, коли посилаючись на критично важливі для бізнесу програми.
Спрощене дерево для критично важливих бізнес-додатків
Якщо говорити про критично важливі для бізнесу програми, це спрощує дерево рішень. За допомогою спрощеного дерева більшість сценаріїв потраплять до категорії «Діяти» або «Бути присутнім», як зазначено вище, обидві з яких відповідають рекомендаціям CISA щодо негайного виправлення. Для інших трьох сценаріїв рекомендовано дотримуватися стандартних графіків виправлення.
Це говорить нам про те, що критично важливі для бізнесу програми вимагають особливої уваги, коли йдеться про безпеку та вразливості. Маючи достатній контекст щодо потенційних вразливостей в організації, команди безпеки готові відповідати належним чином.
SSVC є гарним прикладом інфраструктури, яка допомагає організаціям визначати пріоритети реагування на вразливості, коли вона представлена, але в кінцевому підсумку важливість безпеки для бізнес-додатків має залишатися головним питанням, перш ніж виникне вразливість.
Технологічна рада Forbes — це спільнота для ІТ-директорів, технічних директорів і технічних керівників світового рівня. Чи маю я право?
