Analiza miliarda rekordów CISA KEV pokazuje granice ręcznego zarządzania podatnościami - Security Bez Tabu

Analiza miliarda rekordów CISA KEV pokazuje granice ręcznego zarządzania podatnościami

Cybersecurity news

Wprowadzenie do problemu / definicja

Rosnąca liczba podatności oraz coraz krótszy czas między ujawnieniem błędu a jego aktywnym wykorzystaniem sprawiają, że tradycyjne podejście do łatania przestaje odpowiadać realiom współczesnych zagrożeń. Najnowsza analiza oparta na ponad miliardzie rekordów remediacyjnych powiązanych z katalogiem CISA Known Exploited Vulnerabilities pokazuje, że problem nie sprowadza się wyłącznie do niedoboru zasobów, lecz do strukturalnych ograniczeń ręcznie sterowanego modelu operacyjnego.

W praktyce oznacza to, że nawet organizacje zwiększające tempo pracy nie są w stanie zamknąć najgroźniejszych okien ekspozycji wystarczająco szybko. Skala współczesnych środowisk IT, liczba aktywnie wykorzystywanych luk i złożoność procesów zatwierdzania zmian powodują, że klasyczny model wykrywania, triage i przekazywania zgłoszeń do naprawy zaczyna osiągać swoją granicę wydajności.

W skrócie

Badanie obejmujące 10 tysięcy organizacji i cztery lata danych wskazuje, że mimo znaczącego wzrostu liczby zamykanych zgłoszeń bezpieczeństwa, odsetek krytycznych podatności pozostających otwartych po siedmiu dniach wzrósł z 56% do 63%. Jednocześnie wolumen obsługiwanych zdarzeń związanych z podatnościami zwiększył się 6,5-krotnie względem poziomu bazowego.

W grupie 52 aktywnie uzbrajanych podatności aż 88% było usuwanych wolniej, niż były wykorzystywane przez atakujących. To oznacza, że organizacje pracują intensywniej niż wcześniej, ale nadal przegrywają wyścig z czasem tam, gdzie ryzyko jest najwyższe.

  • więcej pracy operacyjnej nie przekłada się automatycznie na szybszą redukcję ryzyka,
  • aktywnie wykorzystywane luki często pozostają otwarte przez tygodnie lub miesiące,
  • największy problem dotyczy długiego ogona zasobów trudnych do załatania,
  • manualne procesy tworzą opóźnienia nieakceptowalne przy obecnym tempie eksploatacji.

Kontekst / historia

Katalog CISA KEV od kilku lat pełni ważną rolę w priorytetyzacji działań obronnych, ponieważ obejmuje podatności potwierdzone jako aktywnie wykorzystywane w rzeczywistych kampaniach. Sam fakt identyfikacji takich luk nie oznacza jednak, że organizacja zdoła usunąć je w odpowiednim czasie.

Przez lata wiele zespołów bezpieczeństwa pracowało w modelu opartym na sekwencji: wykrycie podatności, ocena, utworzenie zgłoszenia, przekazanie do właściciela systemu i wdrożenie poprawki. Taki schemat powstał w czasach mniejszej liczby CVE i dłuższych cykli eksploatacji. Obecnie coraz częściej dochodzi do sytuacji, w których podatność jest uzbrajana jeszcze przed publikacją poprawki lub niemal natychmiast po jej ujawnieniu, co radykalnie skraca dostępny czas reakcji.

To właśnie zderzenie starego modelu operacyjnego z nową dynamiką zagrożeń stanowi główny kontekst omawianej analizy. Problem nie polega już tylko na tym, ile podatności wykryto, lecz jak długo środowisko pozostaje realnie narażone na skuteczny atak.

Analiza techniczna

Najważniejszym wnioskiem z raportu jest zjawisko określane jako „human ceiling”, czyli granica wydajności ludzkiego, ręcznie sterowanego modelu obrony. Organizacje zamykają obecnie setki milionów dodatkowych zdarzeń rocznie, ale wzrost produktywności nie przekłada się na proporcjonalne skracanie okna ekspozycji dla najbardziej niebezpiecznych luk.

Szczególnie wymowne są przykłady podatności, dla których dostępna była pełna oś czasu eksploatacji. W przypadku Spring4Shell aktywne wykorzystanie miało rozpocząć się dwa dni przed publicznym ujawnieniem, podczas gdy średni czas remediacji w przedsiębiorstwach wyniósł 266 dni. Podobnie luka w Cisco IOS XE miała być uzbrajana około miesiąca wcześniej, a średni czas jej zamknięcia osiągnął 263 dni.

Raport wskazuje także na zjawisko „Manual Tax”, czyli operacyjny koszt utrzymywania procesów, które zbyt wolno docierają do pełnego krajobrazu zasobów. Mediana czasu naprawy może sugerować względnie dobrą sytuację w części środowiska, ale średnia ujawnia rzeczywisty obraz całej infrastruktury, zwłaszcza tam, gdzie występuje długi ogon systemów trudnych do aktualizacji.

Różnice między klasami zasobów są tu szczególnie istotne. Dla infrastruktury sieciowej i urządzeń brzegowych czasy remediacji pozostają znacznie dłuższe niż dla punktów końcowych. To właśnie te obszary często stają się źródłem przewlekłej ekspozycji, która utrzymuje ryzyko na wysokim poziomie mimo poprawy wyników w innych segmentach środowiska.

Autorzy badania proponują odejście od prostego liczenia CVE na rzecz metryk uwzględniających skumulowaną ekspozycję. Kluczowe znaczenie ma tu pojęcie „Risk Mass”, rozumiane jako połączenie liczby podatnych zasobów i czasu pozostawania ich w stanie narażenia. Uzupełnia je „Average Window of Exposure”, czyli pełne okno ekspozycji liczone od momentu uzbrojenia luki do chwili skutecznej remediacji.

Z technicznego punktu widzenia oznacza to, że sam proces skanowania i raportowania nie wystarcza. Jeśli eksploatacja następuje przed publikacją poprawki albo niemal natychmiast po ujawnieniu podatności, ręczne triage, ticketing i wieloetapowe akceptacje zmian wydłużają ścieżkę krytyczną na tyle, że mechanizm obronny staje się zbyt powolny.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest trwała luka czasowa między tempem działania przeciwnika a możliwościami organizacji. Im większa infrastruktura, bardziej rozproszona odpowiedzialność za systemy i bardziej złożony proces zmian, tym wyższe ryzyko, że krytyczne podatności pozostaną otwarte przez długi czas.

Taka sytuacja zwiększa prawdopodobieństwo skutecznej kompromitacji systemów jeszcze przed wdrożeniem poprawek. Dotyczy to zwłaszcza podatności znajdujących się w katalogach aktywnie wykorzystywanych luk, które już wcześniej dowiodły swojej wartości operacyjnej dla atakujących.

  • wzrostu skuteczności ataków ransomware i kampanii intruzyjnych opartych na znanych lukach,
  • utrzymywania się podatnych zasobów w segmentach trudnych operacyjnie,
  • błędnej priorytetyzacji działań i marnowania czasu na luki o niższym znaczeniu praktycznym,
  • przeciążenia zespołów SOC, IT i VM nadmiarem zgłoszeń bez realnej redukcji ekspozycji,
  • pogłębiania różnicy tempa między automatyzacją po stronie atakujących a obroną zależną od pracy manualnej.

Dodatkowym zagrożeniem jest rozwój automatyzacji ofensywnej. Jeśli przeciwnicy będą coraz szybciej identyfikować i uzbrajać nowe błędy, a procesy obronne pozostaną w dużej mierze ręczne, luka czasowa będzie nadal się powiększać.

Rekomendacje

Organizacje powinny przejść od tradycyjnego zarządzania podatnościami do modelu zarządzania ekspozycją i ryzykiem operacyjnym. W centrum uwagi powinno znaleźć się nie tylko to, ile luk wykryto, ale które z nich są rzeczywiście wykorzystywane, jak wiele systemów obejmują i jak długo pozostają otwarte.

Kluczowym krokiem jest priorytetyzacja oparta na realnej eksploatowalności. Podatności z katalogów takich jak CISA KEV powinny mieć pierwszeństwo przed lukami ocenianymi wyłącznie przez pryzmat CVSS, jeśli brak dowodów ich aktywnego użycia w kampaniach ataków.

Niezbędne jest również wdrożenie metryk pokazujących rzeczywisty koszt ekspozycji. Sam licznik otwartych CVE nie oddaje skali problemu, jeśli nie uwzględnia czasu narażenia i liczby podatnych zasobów.

  • wdrożenie priorytetyzacji opartej na aktywnej eksploatacji i kontekście środowiskowym,
  • mierzenie czasu ekspozycji oraz skumulowanej masy ryzyka,
  • ograniczanie manualnych etapów triage, ticketingu i egzekwowania napraw,
  • oddzielne traktowanie infrastruktury sieciowej, urządzeń brzegowych i systemów o długim cyklu zmian,
  • integracja danych o podatnościach, zasobach, konfiguracji i telemetryce zagrożeń w jeden model operacyjny.

Automatyzacja nie powinna eliminować roli człowieka, lecz przesuwać ekspertów z obszaru ręcznego wykonywania powtarzalnych czynności do nadzoru nad politykami, wyjątkami i kontrolą skuteczności procesów naprawczych.

Podsumowanie

Analiza ponad miliarda rekordów remediacyjnych pokazuje, że organizacje zbliżyły się do granicy skuteczności tradycyjnego, ręcznie sterowanego modelu zarządzania podatnościami. Nawet większy wysiłek operacyjny nie gwarantuje szybkiego zamykania najgroźniejszych luk, jeśli przeciwnicy potrafią uzbroić je przed publikacją poprawki lub niemal natychmiast po ujawnieniu problemu.

W praktyce oznacza to konieczność odejścia od myślenia wyłącznie w kategoriach listy CVE. Skuteczniejszy model obrony musi koncentrować się na czasie ekspozycji, skumulowanym ryzyku i automatyzacji działań naprawczych. Dla zespołów bezpieczeństwa to wyraźny sygnał, że przyszłość remediacji będzie zależała nie od większej liczby zgłoszeń, lecz od skrócenia ścieżki od wykrycia do realnego ograniczenia ryzyka.

Źródła

  1. https://www.bleepingcomputer.com/news/security/analysis-of-one-billion-cisa-kev-remediation-records-exposes-limits-of-human-scale-security/
  2. https://www.qualys.com/forms/whitepapers/the-broken-physics-of-remediation
  3. https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  4. https://cloud.google.com/security/resources/m-trends