Критические уязвимости – не приоритет: айтишники упускают главное в борьбе с киберугрозами

Выводы нового отчета «Navigating the Paths of Risk: The State of Exposure Management in 2024» от XM Cyber показывают, что специалисты по кибербезопасности слишком много сил тратят на устранение критических уязвимостей, игнорируя другие, еще более опасные угрозы. Отчет основан на сотнях тысяч оценок векторов атак, проведенных платформой XM Cyber в 2023 году. В ходе исследований было выявлено свыше 40 миллионов проблем безопасности, затрагивающих множество важнейших для бизнеса ресурсов.

Результаты показали, что наиболее опасные уязвимости, позволяющие удаленное выполнение кода, составляют менее 1% от типичного ландшафта угроз для компаний. Даже если учесть все критические уязвимости, которые могут привести к взлому особенно важных активов, на них приходится лишь 11% от общего уровня рисков.

Так где же на самом деле сосредоточены основные угрозы?

Ошибки в управлении учетными записями представляют собой поразительные 80% всех проблем кибербезопасности в организациях. Причем треть из них напрямую открывает критические ресурсы для взлома — огромная брешь, которую активно эксплуатируют хакеры.

Таким образом, хотя устранять баги очень важно, этого недостаточно. Более распространенные угрозы, такие как внедрение хакерами вредоносного кода в общие папки и использование одних и тех же учетных данных на нескольких устройствах, открывают гораздо более широкий доступ к критической инфраструктуре (24%).

Традиционно специалисты стараются исправить каждую уязвимость, но отчет также доказал, что 74% обнаруженных проблем на самом деле не угрожают безопасности и не позволяют хакерам продвигаться дальше. Эти проблемы менее критичны, что позволяет сосредоточиться на реальных проблемах.

Из оставшихся 26% уязвимостей, которые потенциально опасны, XM Cyber выделила ключевые узлы, где сходится множество векторов атак на важные системы. Они названы «критическими точками». Только составляют такие юниты всего 2% от общего числа уязвимостей. Это позволяет сосредоточиться на небольшом количестве самых рисковых проблем и закрыть их в первую очередь. По данным отчета, 20% критических точек ставят под угрозу 10% и более ценной инфраструктуры компании. Поэтому выявление и закрытие подобных брешей — самый эффективный способ снизить риски.

Отделы кибербезопасности в крупных компаниях обычно разделены на группы, которые отвечают за разные системы. Это важно, чтобы проводить более тщательные аудиты, но, к сожалению, из-за такого разделения может теряться общая картина угроз.

В отчете также анализируются различия в угрозах кибербезопасности для разных отраслей. В сферах с большим количеством компонентов (потенциальных точек атаки) больше общее число уязвимостей. Например, в здравоохранении угроз в 5 раз больше, чем в энергетике и ЖКХ.

Однако ключевой метрикой риска является доля ошибок, угрожающих основным производственным системам. И здесь картина меняется: для транспорта и энергетики показатель гораздо выше, хотя общее число угроз меньше.

Вывод таков: разным отраслям требуются разные подходы к кибербезопасности. Финансовые организации имеют больше цифровых активов, но меньший процент критических уязвимостей по сравнению с энергетикой.

Понимание специфических для отрасли рисков критично для эффективной стратегии кибербезопасности.