Sledování komunikace na Twitteru může být podle analýzy Keena Security, která je od loňského roku součástí Cisco, překvapivě užitečným nástrojem pro hodnocení nejnebezpečnějších zranitelností ve firemním IT. Keena Security ve své studii věnované stanovení priorit při odstraňování slabin v podnikových IT zařízeních tvrdí, že využití informací z Twitteru je dvakrát účinnější než tradiční zavedená metoda hodnocení zranitelností CVSS (Common Vulnerability Scoring System).
Jen v roce 2021 bylo zveřejněno vice než 20 tisíc nových softwarových zranitelností, tedy v průměru 55 denně. Ani ty nejlepší IT týmy nedokážou zacelit všechny slabiny. Podle studie Keena Security a Cyentia Institute je proto extrémně důležité stanovit priority a rozhodnout se, které mezery je klíčové zacelit.
Tradiční metoda CVSS zjednodušeně řečeno známkuje zranitelnosti podle stupně jejich nebezpečnosti a podle ní by se měly firmy soustředit na odstranění chyb, které získají nejvyšší skóre v tomto hodnocení. Keena Security ovšem doporučuje rozhodovat se spíš podle toho, jaká je pravděpodobnost, že určitá zranitelnost ve firemním zařízení bude skutečně zneužita. K tomu již byl vyvinut nový otevřený EPSS (Exploit Prediction Scoring System), jenž na základě všech dostupných informací dokáže zranitelnosti přidělit pravděpodobnost od 0 do 100 %, že se ji někdo v reálném světě pokusí zneužít.
Z dat zveřejněných v analýze vyplývá, že minimálně jedna napadnutelná zranitelnost se vyskytuje v 95 % IT zařízení. Většina podniků (87 %) má otevřenou zranitelnost nejméně ve čtvrtině aktivních prostředků a 41 % z nich vykazuje zranitelnosti ve třech čtvrtinách IT vybavení. Zároveň ale u výrazné většiny (62 %) zranitelností existuje méně než 1% pravděpodobnost jejich zneužití. A pouze u 5 % veřejně známých chyb zabezpečení je pravděpodobnost napadení vyšší než 10 %.
Aby Keena Security určila optimální postup stanovení priorit při odstranění slabin, vytvořila 8 scénářů řešení v pořadí od nejhoršího po nejlepší:
• Nečinnost. Tento scénář je logicky spojen s nejvyšším rizikem.
• Náhodný výběr. Odstraňovat slabiny bez předchozího hodnocení jejich rizikovosti.
• CVSS. Soustředit se na slabiny, které mají nejvyšší skóre CVSS.
• Exploit. Soustředit se na slabiny, u nichž byl zveřejněn exploit, tedy popis, jak lze zranitelnost zneužít.
• Odstraňovat slabiny, které se v podnikových zařízeních vyskytují nejčastěji.
• Soustředit se na zranitelnosti, které jsou výrobci hardwaru či softwaru řešeny nejrychleji.
• Zaměřit se na zranitelnosti, které jsou nejčastěji zmiňovány na Twiteru.
• Dát prioritu slabinám s nejvyššími hodnotami EPSS skóre a se známými zveřejněnými exploity.
Z hodnocení těchto scénářů mj vyplynulo:
• Upřednostnění zranitelností, pro něž existuje exploit, je z hlediska minimalizace napadnutelnosti 11x účinnější než řídit se podle CVSS.
• Stanovování priorit softwarových oprav podle zmínek na Twitteru je při snižování napadnutelnosti dvakrát účinnější než zavedený systém hodnocení zranitelností CVSS.
• Správné stanovení priorit zranitelností a řešení podle míry rizika je efektivnější než zvyšování technických a lidských kapacit na opravy. Ale spojením obojího lze dosáhnout až 29násobného snížení skóre napadnutelnosti.