Важность понимания структур управления уязвимостями для определения приоритетов мер безопасности

JP курирует группы исследований и инноваций, благодаря которым Onapsis остается в авангарде рынка безопасности критически важных для бизнеса приложений.

гетти

Во всем мире работают приложения для планирования ресурсов предприятия (ERP). Это может показаться слишком смелым заявлением, но давайте посмотрим, насколько ERP-приложения влияют на нашу повседневную жизнь.

Ориентируясь на SAP, лидера рынка ERP, одни только ее клиенты генерируют 87% от общего объема мировой торговли, что составляет примерно 46 триллионов долларов, и состоят из 99 из 100 крупнейших компаний мира.

Имея в виду эту статистику, некоторые из крупнейших организаций в мире, которые влияют на нас, полностью зависят от приложений ERP для работы и обслуживания людей. Со временем эти приложения стали основной частью их критически важных систем, поскольку они буквально поддерживают их миссию.

Эти приложения имеют жизненно важное значение, но когда дело доходит до безопасности, как мы можем правильно расставить приоритеты для инвестиций в приложения ERP, когда нужно учитывать так много других вещей? Ниже приведены несколько различных стандартов и механизмов для этого.

Общая система оценки уязвимостей

Общая система оценки уязвимостей (CVSS) определяет техническую серьезность уязвимости, а источники информации об угрозах предоставляют нам информацию о том, что активно используется злоумышленниками и как. Исследовательские лаборатории Onapsis, например, предоставляют последние клиентам, а также общественности, работая с глобальными CERT (-ами), когда существуют риски, которые необходимо решать с более высоким приоритетом.

Но со всеми этими механизмами существует ли стандарт, который поможет собрать все воедино и принять решение о приоритетах?

Руководство по классификации уязвимостей для конкретных заинтересованных сторон

Недавно Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) выпустило Руководство по категоризации уязвимостей для конкретных заинтересованных сторон (SSVC), которое представляет собой «настраиваемую модель дерева решений, помогающую расставить приоритеты при реагировании на уязвимости» и может использоваться в качестве стандарта для реагировать на различные уязвимости безопасности, которые могут затронуть компанию.

Важность этого инструмента заключается в том, что он учитывает контекст при принятии решения о приоритизации, поэтому, хотя CVSS обеспечивает уровень технического воздействия, он становится лишь частью дерева решений SSVC. На это дерево решений сильно влияет компонент эксплуатации, в том числе от того, активно ли эксплуатируется уязвимость или является ли она «автоматизируемой».

Эта модель дерева решений эффективно учитывает многие аспекты текущего состояния уязвимостей безопасности, чтобы помочь принять решение о реагировании — более конкретно, когда исправлять или применять меры по устранению уязвимости. SSVC рассматривает следующие элементы.

• Действие (когда исправлять).

• Отслеживание (в рамках стандартных сроков обновления).

• Присутствовать (раньше стандартных сроков обновления).

• Действовать (как можно скорее).

Когда мы связываем это с темой приложений ERP, SSVC также применим к уязвимостям, которые затрагивают эти типы приложений, хотя в его дереве решений есть очень интересный компонент, называемый «миссия и благополучие». При этом учитываются следующие два аспекта.

• Воздействие на основные функции соответствующих организаций. (Насколько уязвимый компонент связан с выполнением миссии?)

• Воздействие взлома системы на людей. (Каким образом уязвимый компонент связан с влиянием на общественное благополучие?)

В то время как влияние на общественное благополучие зависит от типа организации и того, как технология используется для выполнения своей миссии, воздействие на основные функции миссии может быть проще классифицировано. Это особенно верно, когда речь идет о критически важных бизнес-приложениях, поскольку они необходимы для выполнения задач большинства организаций. А поскольку компонент «миссия и благополучие» фактически рассматривает высший из двух своих компонентов, то можно с уверенностью предположить, что для целей SSVC его влияние на «миссию и благополучие» всегда будет высоким, когда со ссылкой на критически важные для бизнеса приложения.

Упрощенное дерево для важных бизнес-приложений

Когда речь идет о критически важных бизнес-приложениях, это эффективно упрощает дерево решений. С упрощенным деревом большинство сценариев попадут либо в категорию «Действовать», либо в категорию «Посещать», как упоминалось выше, обе из которых соответствуют рекомендациям CISA по немедленному исправлению. Для остальных трех сценариев рекомендуется придерживаться стандартных сроков установки исправлений.

Это говорит нам о том, что критически важные для бизнеса приложения требуют особого внимания, когда речь идет о безопасности и уязвимостях. Имея достаточный контекст потенциальных уязвимостей внутри организации, группы безопасности имеют все необходимое для надлежащего реагирования.

SSVC представляет собой хороший пример платформ, помогающих организациям расставлять приоритеты в ответ на уязвимости, когда они появляются, но, в конечном счете, важность безопасности для бизнес-приложений должна оставаться главным соображением до того, как уязвимость возникнет.

Технологический совет Forbes — это сообщество только по приглашению для ИТ-директоров, технических директоров и руководителей технологических компаний мирового уровня. Имею ли я право?