Что такое VPR, и чем он отличается от CVSS

В этой статье мы подробно и с разных точек зрения рассмотрим рейтинг приоритетности уязвимостей (VPR), а именно его отличительные характеристики, благодаря которым он больше подходит для приоритизации задач по устранению уязвимостей, чем общая система оценки уязвимостей, известная также как CVSS

Что такое VPR?

Рейтинг приоритетности уязвимостей (VPR), результат работы алгоритма прогнозной приоритизации Tenable, помогает организациям повысить эффективность устранения уязвимостей путем их приоритизации по уровню критичности — низкий, средний, высокий и критический. Этот уровень определяется двумя компонентами — техническим воздействием на систему и угрозой. 

Измерение технического воздействия показывает, как эксплуатация уязвимого компонента повлияет на конфиденциальность, целостность и доступность данных. Этот показатель представлен в оценке воздействия CVSSv3. Компонент уровня угрозы отражает как недавние, так и потенциальные попытки злоумышленников проэксплуатировать уязвимость. Среди источников угроз, которые влияют на рейтинг VPR, можно выделить исследования о теоретической возможности эксплойта («проверка концепции» эксплойта, PoC), сообщения о реальных эксплойтах в СМИ, появление вредоносного кода в цепочках эксплойтов или фреймворках, ссылки на эксплойты в дарквебе и на хакерских форумах, а также опубликованные хэши вредоносных файлов. На таких данных киберразведки основывается приоритизация уязвимостей, которые представляют наибольший риск для организации.

VPR создан для приоритизации уязвимостей

Фреймворк CVSS уже давно критикуют за неэффективную приоритизацию задач по устранению уязвимостей. В основном, это связано с тем, что он был разработан для оценки технической критичности уязвимостей, а не риска, который они представляют. Из исследования Университета Карнеги—Меллона за 2019 год:

«Общая система оценки уязвимостей (CVSS) широко используется для приоритизации уязвимостей и оценки рисков, несмотря на то, что она была разработана для измерения их технической критичности».

Когда систему оценки CVSS используют для устранения уязвимостей, ее часто подвергают критике за то, что она выдает большое количество уязвимостей с высоким и критичным уровнем опасности. Например, на 16 апреля 2020 года у 16.000 уязвимостей был рейтинг 9.0 или выше (согласно CVSSv2) — это 13% от всех уязвимостей. CVSSv3, последняя основная версия CVSS, не решает эту проблему. С момента выпуска CVSSv3 в июне 2015 года более 60.000 уязвимостей получили оценки критичности в этой системе. Примерно 9.400 уязвимостей, 16% от всех уязвимостей, указанных в системе CVSSv3, были получили балл 9.0 или выше. Когда так много уязвимостей расцениваются как критичные, их приоритизация становится трудновыполнимой задачей. 

VPR позволяет избежать подобных проблем, используя информацию не только о технических параметрах уязвимости, но также и об угрозах, направленных на нее. На графике выше сравнивается соотношение уязвимостей по VPR и CVSSv3. В связи с динамичным характером угроз количество критичных уязвимостей в VPR незначительно меняется каждый день. В среднем в день VPR присваивает уровень опасности «Критичный» около 700 уязвимостям, а уровень «Высокий» — менее 5.000. Это менее 1% и 4% от всех уязвимостей соответственно. Чем меньше уязвимостей оцениваются как критичные, тем проще командам ИБ сосредоточиться на них и составить план по эффективному устранению. 

Естественно, на этом этапе возникает вопрос об реальной пользе: сколько уязвимостей, представляющих риск для организации, может быть выявлено с помощью VPR? В следующей части статьи представлено сравнение эффективности VPR и CVSSv3 в выявлении опасных уязвимостей. Но для начала разберемся, как генерируется VPR.

Принцип работы VPR

Система оценивания VPR полагается на моделях машинного обучения, которые функционируют вместе и прогнозируют угрозы. В этом прогнозе, который основан на самых свежих данных, предпринимается попытка ответить на следующий вопрос: основываясь на имеющей информации, каков уровень угрозы для определенной уязвимости в ближайшем будущем? Чтобы модели машинного обучения VPR могли предоставить этот ответ, их обогащают историческими данными из различных фидов: 

• В фидах киберразведки содержится информация об эксплойтах и атаках, связанных с уязвимостями: например, индикаторы компрометации, ссылки на эксплойты в дарквебе, сообщения об эксплойтах в СМИ или в репозиториях кода, и так далее. Эти фиды обогащают VPR данными об уязвимостях, которые потенциально подвержены эксплуатации, и которые уже были активно атакованы.
• Репозитории и цепочки эксплойтов предоставляют информацию о зрелости кода эксплойта. От степени зрелости кода эксплойта, которая варьируется от проверки концепции до реального использования, зависит критичность угрозы.
• Репозитории уязвимостей и рекомендации по кибербезопасности предоставляют существенные характеристики уязвимостей, которые также могут быть соотнесены с уровнем угрозы. 

Все эти необработанные данные ежедневно поступают в пайплайн VPR. Оценка VPR (в приведенном ниже примере — 9.6) формируется путем объединения оценок угрозы и технического воздействия (взятого из метрики CVSSv3) для каждой уязвимости. Этот процесс изображен на рисунке 2.

Сравнение VPR и CVSS: эффективность устранения уязвимостей

Сравнительный анализ показывает, что стратегия устранения уязвимостей на основе VPR может быть эффективнее, чем на основе CVSS. 

VPR приоритизирует уязвимости, для которых эксплойты только появляются

Проактивный подход к зарождающимся угрозам позволяет командам ИБ выиграть время и усилить защиту поверхности атаки. Один из примеров проактивной защиты — это частое сканирование сети и исправление каждой уязвимости с CVSS-оценкой «Критично» в установленный срок исправления. Такой подход может оказаться высокоэффективным и, возможно, обезопасит сеть, но на практике его трудно реализовать из-за огромного количества уязвимостей, попадающих в эту категорию. 

VPR предназначен для приоритизации уязвимостей, которые с большей вероятностью могут стать мишенью злоумышленников в ближайшем будущем, и отсеивания тех, которые представляют наименьший риск. В этом заключается предсказательный характер VPR. Стоит рассказать о том, как составляются прогнозы. В этом нет никакой магии – прогнозы  VPR основаны на простом правиле: угроза, связанная с опубликованной уязвимостью, обычно эволюционирует по той же схеме, что и аналогичные уязвимости в прошлом. 

В таблицах ниже видно, что стратегии устранения уязвимостей, разработанные в соответствии с VPR, могут гораздо более эффективно достичь тех же результатов, как и при исправлении всех уязвимостей с CVSS-оценкой «Критично». Для сравнения VPR и CVSSv3 были подсчитаны уязвимости, для которых в течение 28 дней после составления оценки появлялся индикатор взлома (IoC). IoC-индикаторы — это артефакты, которые часто считаются убедительным доказательством эксплуатации уязвимости. Они включают хэши вредоносных файлов, IP-адреса, URL-адреса и т. д. IoC-индикаторы получены от частных провайдеров данных киберразведки, таких как ReversingLabs и VirusTotal.

Без IoC — IoC-индикаторы не обнаружены в течение 28 дней после расчета VPR
С IoC — IoC-индикаторы обнаружены в течение 28 дней после расчета VPR

В этих двух таблицах сравниваются результаты прогнозирования уязвимостей, которые в течение 28 дней становятся реальной угрозой. Оценки VPR, используемые в данном примере, взяты за январь 2020 года, а IoC-индикаторы уязвимостей собраны за 28 дней после расчета этих оценок. По охвату уязвимостей с критичным и высоким уровнем опасности, для которых был выявлен IoC, система VPR показала практически такие же результаты, как и CVSSv3. Другими словами, обе системы оценки фиксируют примерно одинаковое количество уязвимостей, у которых появляется реальный IoC в течение четырех недель: VPR: выявил 428 уязвимостей, из них 365 — с критичным и высоким уровнем опасности; CVSS: выявил 430 уязвимостей и 376 из них с такими же уровнями критичности.

Однако VPR гораздо эффективнее CVSSv3 прогнозирует уязвимости, у которых за 28 дней появится IoC:

• VPR: из всех выявленных уязвимостей критичного уровня индикаторы IoC были обнаружены для 26% , из всех выявленных уязвимостей высокого уровня —  для 17%;
• CVSSv3: из всех выявленных уязвимостей критичного и высокого уровня только для 1% были обнаружены IoC. Устранение 1.500 наиболее критичных уязвимостей по оценкам VPR принесет такой же результат, как исправление 33.000 уязвимостей с такими же оценками в CVSSv3, но будет примерно в 22 раза эффективнее.

VPR приоритизирует уязвимости с известными эксплойтами

Зрелость кода эксплойта для уязвимости повышает вероятность того, что киберпреступники воспользуются ей во время атаки. Следовательно, в VPR должен быть присвоен более высокий уровень критичности для уязвимостей с общедоступным кодом эксплойта. Обратите внимание, что классификация зрелости кода эксплойта, приведенная в этом анализе, соответствует классификации CVSS. Вкратце, зрелый код эксплойта является функциональным и автономным. Функциональный означает, что код эксплойта уже активно применяется в атаках, а PoC-код — что в теории он будет работать, но не во всех случаях. Больше информации можно найти в спецификации CVSSv3 [CVSSv3]. Источником данных об эксплойтах служат многочисленные репозитории и эксплойт-киты: Metasploit, Core Impact, Exploit DB, D2 Elliot, Packet Storm и др. 

На рисунке 3 приведено соотношение наличия и зрелости кода эксплойтов для уязвимостей каждого уровня критичности, выявленных системами VPR и CVSSv3. У 54% критичных уязвимостей по оценке VPR есть общедоступный код эксплойта (высокоэффективный, функциональный или PoC-код) — при использовании оценки CVSS таких уязвимостей только 15%. Из этого следует, что приоритизация уязвимостей с помощью VPR позволяет снизить риски, связанные с эксплойтами, код которых доступен в Интернете.

Следующий вопрос: какую долю уязвимостей с высокоэффективным и функциональным кодом выявляет VPR? Другими словами, какое покрытие уязвимостей со зрелым кодом эксплойта у VPR? На рисунке 4 представлено соотношение степеней критичности уязвимостей в VPR и CVSS для каждого уровня зрелости кода. 

• Уязвимости со зрелым кодом эксплойта (высокоэффективный и функциональный) в VPR в основном получают оценки «Критичный» и «Высокий», как и в CVSS. Но, учитывая большое количество CVE с критичным и высоким уровнем опасности по оценке CVSSv3, VPR приоритизирует уязвимости с известным кодом эксплойта гораздо эффективнее. 
• Разница распределения критичности VPR между уязвимостями с неподтвержденным, высокоэффективным и PoC-кодом эксплойта существенна. В VPR большинство уязвимостей с PoC-кодом получают оценку средней критичности, а уязвимости с непроверенным кодом эксплойта – низкой. В свою очередь, CVSSv3 распределяет уязвимости более равномерно по всем уровням зрелости кода эксплойтов. Критичные и высокие оценки VPR более тесно связаны с высокоэффективным и функциональным кодом эксплойта, чем такие же оценки в CVSS.

VPR приоритизирует уязвимости с эксплойтами, которые в ближайшее время станут более зрелыми

IoC-индикаторы предоставляют прямые доказательства эксплойта, но не являются единственным признаком угроз. Другим сигналом является активное исследование способов эксплуатации уязвимости: код эксплойта становится доступным в сети или более зрелым. 

В таблице 2 приводится сравнение эффективности VPR и CVSS при выявлении уязвимостей, у которых зрелость кода эксплойта повысилась до РоС-кода, функционального или высокоэффективного кода в течение 28 дней после оценки VPR. Код эксплойта этих уязвимостей активно исследовался за этот период. В строках указана критичность уязвимости, в столбцах – уровень зрелости кода эксплойта. В ячейках указано количество уязвимостей, у которых в течение 28 дней после оценивания VPR код эксплойта стал более зрелым или активно исследовался. Например, за 28 дней у четырех критичных уязвимостей по оценкам VPR степень зрелости кода эксплойта повысилась до высокоэффективной. Результаты анализа:

• VPR точнее, чем CVSSv3 спрогнозировал уязвимости, у которых код эксплойта стал высокоэффективным в течение 28 дней после оценки. Из восьми уязвимостей в этой категории VPR оценил уровень четырех как «‎Критичный», в то время как CVSS — только двух. 
• В системе VPR коды эксплойта с разной степенью зрелости оцениваются разным уровнем критичности. Критичные оценки подчеркивают уязвимости с более зрелым кодом эксплойта: 
  • 50% (4 из 8) уязвимостей, у которых степень зрелости эксплойта повысилась до высокоэффективной, получили оценку VPR «‎Критичный».
  • 30% (2 из 6) уязвимостей, у которых степень зрелости кода эксплойта повысилась до функциональной, получили оценку VPR «‎Критичный».
  • 4% (1 из 24) уязвимостей, у которых степень зрелости кода повысилась до РоС-кода, получили оценку VPR «‎Критичный». 
• Оценка CVSSv3 «Критичный», напротив, смешивает разные уровни зрелости кода: 25% уязвимостей для высокоэффективного кода, 50% для функционального и 21% для PoC. 
• У CVSSv3 охват уязвимостей с развивающимся кодом эксплойта больше (код эксплойтов большинства уязвимостей с оценкой CVSSv3 «Критичный» и «Высокий» более зрелый, чем с той же оценкой VPR): 
  • В сумме 31 уязвимость с растущей зрелостью кода имеет рейтинг CVSSv3 «Критичный» и «Высокий». Среди них коды эксплойтов семи уязвимостей улучшились до высокоэффективных, четырех — до функциональных и двадцати до РоС-кодов. 
  • В сумме 11 уязвимостей с растущей зрелостью кода имеют рейтинг VPR «Критичный» и «Высокий». Среди них коды эксплойтов пяти уязвимостей улучшились до высокоэффективных, двух — до функциональных и четырех до РоС-кодов.

Таким образом, для устранения уязвимостей с развивающимся кодом эксплойта сначала следует приоритизировать уязвимости по VPR с оценкой «‎Критичный», чтобы получить высокую точность, а затем по CVSS с оценками «‎Критичный» и «‎Высокий», чтобы увеличить охват. 

Заключение

В этой статье был рассмотрен рейтинг VPR и те характеристики, которые делают его большим, чем очередная новая версия CVSS. Выводы:

• VPR предназначен для приоритизации уязвимостей. VPR учитывает как технические характеристики, так и данные киберразведки.
• В прогнозировании уязвимостей, которые представляют угрозу, VPR значительно эффективнее CVSSv3:
  • Чтобы улучшить защиту сети от появляющихся эксплойтов, приоритизация задач по устранению около 400 критичных уязвимостей по оценке VPR может принести такой же результат, как такая же приоритизация около 9.000 критичных уязвимостей по оценке CVSSv3. 
  • Чтобы улучшить защиту сети от уязвимостей, для которых уже существует публичный код эксплойта, приоритизация устранения ~1.500 Critical- и High-уязвимостей по оценке VPR может принести такой же эффект, как приоритизация устранения ~33.000 Critical- и High-уязвимостей в CVSSv3. 
  • Чтобы улучшить защиту сети от уязвимостей, у которых код эксплойта становится более зрелым, сначала следует приоритизировать уязвимости по VPR с оценкой «‎Критичный», чтобы получить высокую точность, а затем по CVSS с оценками «‎Критичный» и «‎Высокий», чтобы увеличить охват. 

Закажите демо решений Tenable

Tenable позволяет заказчикам управлять киберриском. Более 30.000 организаций по всему миру и сотни в России и СНГ используют Tenable для анализа и снижения киберрисков. Являясь разработчиком Nessus, Tenable использовал свой опыт в области уязвимостей при создании первой в мире платформы для анализа и защиты любых цифровых активов на любых вычислительных платформах.

Хотите узнать больше? Закажите демо и тестирование Tenable прямо сейчас.