EPSS tizimi tashkilotlarga zaiflikdan hujumda foydalanish mumkinligini va uni haqiqatan ham tuzatish zarurligini aniqlashga imkon beradi.
Ma'lumki, zaifliksiz tizimlar mavjud emas. Har yili CVE identifikatorlari minglab aniqlangan zaifliklar uchun o`rnatiladi va ularning har birini kuzatib borish deyarli mumkin emas. Dastlab qaysi kompaniyalarga tuzatish kerak va qaysi kompaniyalarda ushlab turish mumkinligini qanday aniqlash uchun mutaxassislar o'tgan hafta Las-Vegasda bo'lib o'tgan Black Hat USA konferentsiyasida muhokama qilishga harakat qilishdi.
Kenna Security mutaxassisi Maykl Roytman va Cyentia Institutidan Jey Jeykoblar zaiflikni boshqarish "zararli muammo" deb atashdi, chunki bu aniqlangan zaifliklar soni bilan mutanosib emas. Ularning so'zlariga ko'ra, har oy barcha zaifliklarning atigi 10% tuzatiladi. Kompaniyalar ularni barchasini tuzatishga qodir emas, chunki ular juda ko'p, shuning uchun bu muammoni hal qiladigan strategiyani ishlab chiqish zarur, deydi mutaxassislar.
Yangi strategiya tashkilotlarga qaysi zaifliklar to'g'rilanishi kerakligini aniqlashga yordam berishi kerak. Nazariy jihatdan, CVSS reyting tizimi bunga yordam berishi kerak - reyting qanchalik yuqori bo'lsa, muammo yanada jiddiyroq bo'ladi. Biroq, CVSS bo'yicha 7 va undan yuqori ball to'plagan barcha zaifliklar juda muhim hisoblanadi. Bunday "tanqidiy" zaifliklar hali ham juda ko'p va ularning qaysi biri ustuvor bo'lishi kerakligini tushunish mumkin emas.
"CVSS shunchaki sizning yamoqlarni o'rnatish siyosatingizga DoS-qilyapti va sizni drenajga sarflashga majbur qiladi" dedi Roitman va Jeykobs.
Tadqiqotchilar so`zlariga ko'ra, barcha muhim zaifliklarning atigi 2-5 foizi haqiqiy hujumlarda ekspluatatsiya qilinadi. Shu sababli, amalda ulardan foydalanishning mumkin bo'lgan imkoniyatlarini hisobga oladigan zaiflik xavfini baholash tizimini yaratish kerak.
Bunday tizim AQShning Black Hat-da namoyish etilgan, Roitman va Jeykobs tomonidan joriy etilgan Exploit Prediction Scoring System (EPSS) bo'lishi mumkin. EPSS zaiflikdan foydalanishning maqsadga muvofiqligini aniqlash uchun o'ndan ortiq mezonlardan foydalanadi. Bunga CVE, CVSS baholash, operatsion tizim, sotuvchi va boshqa parametrlar tomonidan ishlatiladigan PoC ekspluatatsiyalari va , kiber jinoyatchilar ekspluatatsiyalari mavjudligi kiradi.
Yuqoridagi barcha mezonlarni hisobga olgan holda, EPSS haqiqiy hujumlarda ma'lum bir zaiflikdan foydalanish ehtimoli foizini beradi.
Tadqiqotchilar o'z tizimlarini boshqa mahsulotlarda amalga oshirish algoritmi va onlayn kalkulyator sifatida chiqaradilar.
Manbaa: https://www.securitylab.ru/news/500398.php