Добро пожаловать в «Мифы об уязвимостях, в которые пора перестать верить»! Это серия публикаций от вендора Risk Based Security, в которой мы будем разбираться и опровергать популярные заблуждения об управлении уязвимостями
За последнее десятилетие ландшафт раскрытия уязвимостей кардинально поменялся. Однако, несмотря на эти перемены, некоторые мифы об уязвимостях по-прежнему существуют. Часто можно столкнуться с неверными утверждениями, например, о том, что «нельзя дать уязвимости оценку CVSS без идентификатора CVE». Слышали что-то подобное? Возможно, вы встретите такие небылицы в нашей серии статей.
Приступим к развенчанию первого мифа об уязвимостях.
Миф № 1: «CVE/NVD — официальный источник раскрытых уязвимостей»
Почти во всех организациях пользуются базой данных общеизвестных уязвимостей (CVE). Означает ли это, что CVE является «официальным» источником информации о раскрытых уязвимостях? Отнюдь нет. Даже если это самый популярный источник, это не значит, что он самый лучший.
Чтобы понять, почему это только миф, нужно вспомнить, каким был ландшафт раскрытия киберуязвимостей до и немного после 2000 года.
Времена изменились
Раньше организации получали информацию об опубликованных уязвимостях по рассылке и из горстки рекомендаций от вендоров ИБ. Но прежде чем начать ностальгировать, имейте в виду, что количество раскрываемых тогда уязвимостей было значительно меньше, чем сейчас.
За весь 2000 год было опубликовано всего 1.582 уязвимости. И лишь в 2012 и 2013 годах общее количество раскрытых уязвимостей стало стабильно превышать 10.000 записей. С тех пор их становится все больше. Сейчас мы типично видим публикацию более 10.000 уязвимостей в течение шести месяцев.
По сравнению с 2000-ми информация об уязвимостях стала поступать из гораздо большего числа источников. Теперь из-за огромного количества новых технологий и ПО, а также обширного ландшафта для раскрытия уязвимостей успевать за таким потоком информации стало непростой задачей, которую компаниям приходится решать собственными силами, задействуя множество ресурсов.
Не «официальный» источник
Децентрализованное получение информации об уязвимостях и потребность ИБ-сообщества в ее едином источнике привели к росту популярности базы CVE/NVD от MITRE. Такая востребованность только подпитывает первый миф об уязвимостях, но CVE/NVD не является «официальным» источником информации об опубликованных уязвимостях. Однако на это можно возразить, что экосистему CVE/NVD используют чаще всего.
И хотя это так, тем не менее это не делает NVD лучшим источником информации об уязвимостях (даже если большинство организаций полагаются только на нее). Дело в том, что CVE/NVD упустила более 86.000 уязвимостей, причем многие из них касаются решений крупных вендоров, а также обладают высоким или критичным уровнем опасности. Причина этого информационного пробела в том, что CVE/NVD имеет системные недостатки, из-за которых эта база знаний не может быть комплексным, практичным и своевременным источником информации об уязвимостях. Самое главное — это то, что CVE/NVD не обеспечивает проактивное обнаружение и мониторинг уязвимостей. В базе CVE/NVD появляются только те уязвимости, которые были ей непосредственно предоставлены.
Следующий миф, который будет разрушен — «уязвимости нельзя присвоить оценку CVSS без идентификатора CVE». Спойлер: это ложь.
Заинтересованы в более качественных данных об уязвимостях?
Закажите демонстрацию или тестовый доступ к базе уязвимостей VulnDB по этой ссылке.