Father
Professional
- Messages
- 2,602
- Reaction score
- 757
- Points
- 113
В новом отчете XM Cyber, среди прочего, обнаружен значительный разрыв между тем, на чем большинство организаций сосредотачивают свои усилия по обеспечению безопасности, и тем, где на самом деле находятся наиболее серьезные угрозы.
Новый отчет "Навигация по путям риска: состояние управления рисками в 2024 году" основан на сотнях тысяч оценок путей атак, проведенных киберплатформой XM в 2023 году. Эти оценки выявили более 40 миллионов случаев заражения, которые затронули миллионы критически важных для бизнеса активов. Анонимизированные данные об этих случаях были затем предоставлены Институту Cyentia для независимого анализа. Чтобы прочитать полный отчет.
Полученные результаты проливают критический свет на сохраняющееся чрезмерное внимание к устранению CVE в программах кибербезопасности. Фактически, XM Cyber обнаружила, что уязвимости на основе CVE составляют менее 1% от общего числа потенциальных уязвимостей в средних организациях. Даже при учете рисков с высокой отдачей, которые представляют риск компрометации критически важных для бизнеса активов, эти CVE по-прежнему составляют лишь небольшой процент (11%) от профиля рисков.
В чем на самом деле заключается львиная доля риска? Давайте углубимся в результаты:
CVE: необязательно риски
При анализе локальной инфраструктуры подавляющего большинства организаций (86%) в отчете XM Cyber report, что неудивительно, было обнаружено, что уязвимости удаленного исполнения кода составляют (как упоминалось выше) менее 1% всех уязвимостей и только 11% критических уязвимостей.
Исследование показало, что неправильные настройки идентификационных данных и учетных данных представляют ошеломляющие 80% уязвимостей системы безопасности в организациях, причем треть этих уязвимостей подвергает критические активы прямому риску взлома - открытому вектору атаки, активно используемому злоумышленниками.
Таким образом, в отчете ясно дается понять, что, хотя исправление уязвимостей важно, этого недостаточно. Более распространенные угрозы, такие как злоумышленники, заражающие общие папки вредоносным кодом (портящие общий контент) и использующие общие локальные учетные данные на нескольких устройствах, подвергают гораздо большей опасности критически важные ресурсы (24%) по сравнению с CVE.
Таким образом, программы безопасности должны выходить далеко за рамки исправления CVE. Решающее значение имеют надлежащие методы кибергигиены и сосредоточение внимания на устранении проблем, таких как слабое управление учетными данными.
Не заходите в тупики, ищите ударопрочные ограничители
Традиционная система безопасности пытается устранить каждую уязвимость, но отчет XM Cyber показывает, что 74% уязвимостей на самом деле являются тупиковыми для злоумышленников, предлагая им минимальное продвижение вперед или вбок. Это делает эти уязвимости, уязвимости и неправильную конфигурацию менее критичными для ваших усилий по исправлению, позволяя больше времени сосредоточиться на реальных проблемах, представляющих подтвержденную угрозу для критически важных активов.
Оставшиеся 26% случаев заражения, обнаруженных в отчете, позволят злоумышленникам распространять свои атаки на критически важные активы. Анализ графика кибератак XM (™) определяет ключевые пересечения, в которых сходятся несколько путей атаки на критически важные активы, как "контрольные точки". В отчете подчеркивается, что только 2% случаев заражения приходится на "ограничительные точки". Это дает командам безопасности гораздо меньшую группу высокоэффективных воздействий, на которых они могут сосредоточить свои усилия по устранению. Эти "ограничительные точки" выделены желтым и красным на графике ниже. Они особенно опасны, потому что компрометация только одного из них может привести к потере значительной части критически важных активов. Фактически, в отчете установлено, что 20% контрольных точек подвергают риску 10% или более критически важных активов. Таким образом, определение путей атаки и наведение на уязвимые места с высоким риском могут дать защитникам больше преимуществ - снизить риск гораздо эффективнее. Чтобы узнать больше о точках блокировки, ознакомьтесь с этой статьей.
Поиск и классификация рисков: сосредоточьтесь на критических активах
Где находятся уязвимые места и как злоумышленники их используют? Традиционно под поверхностью атаки понимается все в ИТ-среде. Однако в отчете показано, что эффективная безопасность требует понимания того, где находятся ценные активы и как они подвергаются воздействию.
Например, в отчете анализируется распределение потенциальных точек атаки по средам – обнаруживается, что не все объекты уязвимы (см. График ниже). Более важным показателем является подверженность критическим активам. Облачные среды подвержены наибольшему риску воздействия на активы, за ними следуют Active Directory (AD) и ИТ / сетевые устройства.
Стоит подробнее изучить чрезвычайную уязвимость организационной рекламы. Active Directory остается краеугольным камнем управления идентификацией организации, однако в отчете показано, что 80% всех выявленных угроз безопасности связаны с неправильными настройками или слабостями Active Directory. Что еще более тревожно, треть всех уязвимостей критически важных активов может быть связана с проблемами идентификации и учетных данных в Active Directory.
Что из этого следует? Группы безопасности часто организованы по категориям критически важных активов. Хотя этого может быть достаточно для управления общим количеством объектов, оно может упускать из виду общую картину. Критические воздействия, хотя и меньшие, представляют гораздо более высокий риск и требуют особого внимания. (Чтобы вы были в курсе проблем с безопасностью рекламы, мы рекомендуем этот удобный контрольный список рекомендаций по безопасности рекламы.)
Разные потребности для разных отраслей
В отчете также анализируются различные риски кибербезопасности в разных отраслях. Отрасли с большим количеством объектов (потенциальных точек атаки), как правило, более уязвимы. Здравоохранение, например, подвержено риску в 5 раз большему, чем энергетика и коммунальные услуги.
Однако ключевым показателем риска является доля рисков, угрожающих критически важным активам. Здесь картинка переворачивается. Транспорт и энергетика имеют гораздо более высокий процент критических рисков, несмотря на меньшее общее количество уязвимостей. Это означает, что у них более высокая концентрация критически важных активов, на которые могут нацелиться злоумышленники.
Вывод таков: разные отрасли требуют разных подходов к обеспечению безопасности. У финансовых компаний больше цифровых активов, но уровень критического риска ниже, чем у энергетических. Понимание специфики отраслевых атак и угроз, с которыми они сталкиваются, имеет решающее значение для эффективной стратегии кибербезопасности.
Итог
Последнее ключевое открытие демонстрирует, что управление экспозицией не может быть разовым или ежегодным проектом. Это постоянно меняющийся, непрерывный процесс, направленный на совершенствование. Однако чрезмерное внимание к исправлению уязвимостей (CVE) сегодня приводит к игнорированию более распространенных угроз.
Сегодняшняя экосистема безопасности и ландшафт угроз - это не вчерашний день. Пришло время сменить парадигму кибербезопасности. Вместо исправления каждой уязвимости организациям необходимо уделять приоритетное внимание наиболее эффективным уязвимостям, которые обеспечивают злоумышленникам значительное продвижение вперед и в стороны в поврежденной сети, с особым акцентом на 2% уязвимостей, которые находятся в "узких точках", где устранение ключевых недостатков в вашей среде приведет к наиболее положительному снижению общего уровня риска.
Пришло время отказаться от стереотипного мышления и сосредоточиться на реальных векторах атак.
Примечание: Эта статья была профессионально написана Дейлом Фейрбразером, старшим менеджером по маркетингу продуктов в XM Cyber.
Новый отчет "Навигация по путям риска: состояние управления рисками в 2024 году" основан на сотнях тысяч оценок путей атак, проведенных киберплатформой XM в 2023 году. Эти оценки выявили более 40 миллионов случаев заражения, которые затронули миллионы критически важных для бизнеса активов. Анонимизированные данные об этих случаях были затем предоставлены Институту Cyentia для независимого анализа. Чтобы прочитать полный отчет.
Полученные результаты проливают критический свет на сохраняющееся чрезмерное внимание к устранению CVE в программах кибербезопасности. Фактически, XM Cyber обнаружила, что уязвимости на основе CVE составляют менее 1% от общего числа потенциальных уязвимостей в средних организациях. Даже при учете рисков с высокой отдачей, которые представляют риск компрометации критически важных для бизнеса активов, эти CVE по-прежнему составляют лишь небольшой процент (11%) от профиля рисков.
В чем на самом деле заключается львиная доля риска? Давайте углубимся в результаты:
CVE: необязательно риски
При анализе локальной инфраструктуры подавляющего большинства организаций (86%) в отчете XM Cyber report, что неудивительно, было обнаружено, что уязвимости удаленного исполнения кода составляют (как упоминалось выше) менее 1% всех уязвимостей и только 11% критических уязвимостей.
Исследование показало, что неправильные настройки идентификационных данных и учетных данных представляют ошеломляющие 80% уязвимостей системы безопасности в организациях, причем треть этих уязвимостей подвергает критические активы прямому риску взлома - открытому вектору атаки, активно используемому злоумышленниками.
Таким образом, в отчете ясно дается понять, что, хотя исправление уязвимостей важно, этого недостаточно. Более распространенные угрозы, такие как злоумышленники, заражающие общие папки вредоносным кодом (портящие общий контент) и использующие общие локальные учетные данные на нескольких устройствах, подвергают гораздо большей опасности критически важные ресурсы (24%) по сравнению с CVE.
Таким образом, программы безопасности должны выходить далеко за рамки исправления CVE. Решающее значение имеют надлежащие методы кибергигиены и сосредоточение внимания на устранении проблем, таких как слабое управление учетными данными.
Не заходите в тупики, ищите ударопрочные ограничители
Традиционная система безопасности пытается устранить каждую уязвимость, но отчет XM Cyber показывает, что 74% уязвимостей на самом деле являются тупиковыми для злоумышленников, предлагая им минимальное продвижение вперед или вбок. Это делает эти уязвимости, уязвимости и неправильную конфигурацию менее критичными для ваших усилий по исправлению, позволяя больше времени сосредоточиться на реальных проблемах, представляющих подтвержденную угрозу для критически важных активов.
Оставшиеся 26% случаев заражения, обнаруженных в отчете, позволят злоумышленникам распространять свои атаки на критически важные активы. Анализ графика кибератак XM (™) определяет ключевые пересечения, в которых сходятся несколько путей атаки на критически важные активы, как "контрольные точки". В отчете подчеркивается, что только 2% случаев заражения приходится на "ограничительные точки". Это дает командам безопасности гораздо меньшую группу высокоэффективных воздействий, на которых они могут сосредоточить свои усилия по устранению. Эти "ограничительные точки" выделены желтым и красным на графике ниже. Они особенно опасны, потому что компрометация только одного из них может привести к потере значительной части критически важных активов. Фактически, в отчете установлено, что 20% контрольных точек подвергают риску 10% или более критически важных активов. Таким образом, определение путей атаки и наведение на уязвимые места с высоким риском могут дать защитникам больше преимуществ - снизить риск гораздо эффективнее. Чтобы узнать больше о точках блокировки, ознакомьтесь с этой статьей.
Поиск и классификация рисков: сосредоточьтесь на критических активах
Где находятся уязвимые места и как злоумышленники их используют? Традиционно под поверхностью атаки понимается все в ИТ-среде. Однако в отчете показано, что эффективная безопасность требует понимания того, где находятся ценные активы и как они подвергаются воздействию.
Например, в отчете анализируется распределение потенциальных точек атаки по средам – обнаруживается, что не все объекты уязвимы (см. График ниже). Более важным показателем является подверженность критическим активам. Облачные среды подвержены наибольшему риску воздействия на активы, за ними следуют Active Directory (AD) и ИТ / сетевые устройства.
Стоит подробнее изучить чрезвычайную уязвимость организационной рекламы. Active Directory остается краеугольным камнем управления идентификацией организации, однако в отчете показано, что 80% всех выявленных угроз безопасности связаны с неправильными настройками или слабостями Active Directory. Что еще более тревожно, треть всех уязвимостей критически важных активов может быть связана с проблемами идентификации и учетных данных в Active Directory.
Что из этого следует? Группы безопасности часто организованы по категориям критически важных активов. Хотя этого может быть достаточно для управления общим количеством объектов, оно может упускать из виду общую картину. Критические воздействия, хотя и меньшие, представляют гораздо более высокий риск и требуют особого внимания. (Чтобы вы были в курсе проблем с безопасностью рекламы, мы рекомендуем этот удобный контрольный список рекомендаций по безопасности рекламы.)
Разные потребности для разных отраслей
В отчете также анализируются различные риски кибербезопасности в разных отраслях. Отрасли с большим количеством объектов (потенциальных точек атаки), как правило, более уязвимы. Здравоохранение, например, подвержено риску в 5 раз большему, чем энергетика и коммунальные услуги.
Однако ключевым показателем риска является доля рисков, угрожающих критически важным активам. Здесь картинка переворачивается. Транспорт и энергетика имеют гораздо более высокий процент критических рисков, несмотря на меньшее общее количество уязвимостей. Это означает, что у них более высокая концентрация критически важных активов, на которые могут нацелиться злоумышленники.
Вывод таков: разные отрасли требуют разных подходов к обеспечению безопасности. У финансовых компаний больше цифровых активов, но уровень критического риска ниже, чем у энергетических. Понимание специфики отраслевых атак и угроз, с которыми они сталкиваются, имеет решающее значение для эффективной стратегии кибербезопасности.
Итог
Последнее ключевое открытие демонстрирует, что управление экспозицией не может быть разовым или ежегодным проектом. Это постоянно меняющийся, непрерывный процесс, направленный на совершенствование. Однако чрезмерное внимание к исправлению уязвимостей (CVE) сегодня приводит к игнорированию более распространенных угроз.
Сегодняшняя экосистема безопасности и ландшафт угроз - это не вчерашний день. Пришло время сменить парадигму кибербезопасности. Вместо исправления каждой уязвимости организациям необходимо уделять приоритетное внимание наиболее эффективным уязвимостям, которые обеспечивают злоумышленникам значительное продвижение вперед и в стороны в поврежденной сети, с особым акцентом на 2% уязвимостей, которые находятся в "узких точках", где устранение ключевых недостатков в вашей среде приведет к наиболее положительному снижению общего уровня риска.
Пришло время отказаться от стереотипного мышления и сосредоточиться на реальных векторах атак.
Примечание: Эта статья была профессионально написана Дейлом Фейрбразером, старшим менеджером по маркетингу продуктов в XM Cyber.
