Устранение уязвимостей все чаще превращается в серьезную проблему, поскольку у служб безопасности накапливается усталость от растущего числа публично раскрываемых уязвимостей. Анализ, проведенный специалистами S&P Global Ratings, совместного предприятия S&P Global и компании Guidewire, занимающейся анализом киберрисков, показал, что почти три четверти организаций лишь время от времени устраняют уязвимости, которые могут оказать серьезное влияние на их системы. В ходе исследования, предполагавшего сканирование компьютерных систем, подключенных к Интернету, были проанализированы данные об уязвимостях более чем 7 тыс. финансовых предприятий и организаций корпоративного сектора. Выяснилось, что устранением уязвимостей в системах, подключенных к Интернету и находящихся в зоне атаки, 30% организаций занимались лишь изредка, а 40% нерегулярно.

Все чаще при обнаружении очередной уязвимости не вполне ясно, что именно следует исправлять. Использование традиционной системы оценки приоритетов (Common Vulnerability Scoring System, CVSS) также может ухудшить безопасность и привести к задержкам при устранении уязвимостей. Возможно, расстановка приоритетов с самого начала была не совсем адекватной. Система CVSS представляет собой стандартизированный способ классификации уязвимостей, который учитывает такие факторы, как возможности их использования, сложность эксплойта, необходимые привилегии, требуемое взаимодействие с пользователем и степень воздействия эксплойта. В ней могут отсутствовать некоторые дополнительные показатели, оказывающиеся полезными для более точной расстановки приоритетов. Предлагается обратить внимание на систему оценки безопасности с прогнозированием эксплойтов (Exploit Prediction Security Score, EPSS), которая была создана группой специалистов по безопасности Forum of Incident Response and Security Teams (FIRST).

В EPSS включается информация об уязвимостях, а также доказательства их использования. Сюда относятся сведения о самих уязвимостях, доступности кода эксплойтов, упоминания об уязвимостях в социальных сетях и данные о вредоносных инструментах и сканерах. Продолжает совершенствоваться модель, обученная анализировать всю собранную информацию и рассчитывать вероятности использования уязвимостей в деструктивных целях.

Уязвимости, выявленные в ходе анализа, получили в среднем оценку CVSS в 4,87 балла из 10 при среднем значении EPSS в 0,33 балла (по шкале от 0 до 1). Может показаться, что система EPSS оказывается более щадящей, но авторы отчета дают другое объяснение. Дело в том, что оценки CVSS не учитывают данные о реальных угрозах. Соответственно, балл CVSS у уязвимости может быть выше, а балл EPSS ниже. Поэтому при определении приоритетности устранения уязвимости следует учитывать оба балла.

Определенную роль играет и возраст уязвимости. Для проникновения в систему через старые уязвимости можно использовать ранее созданные эксплойты. Проведенный анализ выявил наличие серьезных угроз: 28% обнаруженных уязвимостей появились не позднее 2016 года, то есть как минимум семь лет назад. Причем информация о 75% из них была публично раскрыта семь и более лет назад, а самой старой исполнилось уже 24 года.

Постоянная эксплуатация устаревших уязвимостей подчеркивает необходимость своевременной и эффективной борьбы с ними. А неудовлетворительные меры по устранению недостатков, выявленные в ходе анализа, могут свидетельствовать о слабом характере управления в целом.