1120 уязвимостей на устройство: невидимые проблемы в корпоративных сетях

Новый отчет NetRise анализирует состав ПО, уязвимости и риски, не связанные с CVE, присутствующие в программном обеспечении корпоративного сетевого оборудования – маршрутизаторы, коммутаторы, брандмауэры, VPN-шлюзы и беспроводные точки доступа.

NetRise отмечает, что организации используют сложный массив программного обеспечения для работы своего сетевого оборудования, включая сторонние, открытые программы, приложения, контейнеры и прошивки устройств. Каждое новое внедряемое ПО несет в себе риски, которые часто остаются незамеченными. Увеличение атак на цепочки поставок ПО подтверждает необходимость принципа «доверяй, но проверяй». Компании должны иметь полную видимость всех компонентов и зависимостей своего программного обеспечения для минимизации рисков.

Основные выводы отчета включают:

1. Инвентаризация ПО для понимания рисков: Исследователи NetRise проанализировали код и создали детализированные SBOM (Software Bill of Materials) для каждого протестированного устройства, обнаружив в среднем 1267 компонентов ПО на каждом устройстве.
2. Детализированный анализ ПО превосходит традиционное сканирование уязвимостей: выявленные риски уязвимостей в среднем в 200 раз превышают результаты традиционных сканеров. Исследователи обнаружили 1120 известных уязвимостей в программных компонентах, причем более трети из них старше 5 лет.
3. Не полагаться только на оценки уязвимостей по CVSS: из 1120 известных уязвимостей в каждом сетевом устройстве более 42% (473) оцениваются как «High» или «Critical» по CVSS. Средний показатель количества уязвимостей, используемых в атаках, составил 20 на устройство, из которых только 7 доступны через сеть.

Исследование подчеркивает важность составления SBOM – перечень отдельных программных компонентов, используемых в создании программного обеспечения. Однако лишь 35% опрошенных организаций создают или генерируют такие списки. В некоторых секторах, таких как медицинские устройства и автомобилестроение, использование SBOM стало обязательным из-за регулирующих требований.

Понимание ПО внутри организации критически важно для своевременного расследования и устранения кибератак. Однако только 38% организаций считают, что эффективно выявляют и реагируют на атаки с эксплуатацией уязвимостей ПО. 47% организаций заявляет, что на устранение критической уязвимости уходит от 1 месяца до полугода.

Организации все чаще принимают продвинутые инструменты анализа цепочки поставок программного обеспечения и управления рисками. Эти инструменты предоставляют детализированные SBOM, включая встроенное ПО, операционные системы, программное обеспечение виртуализации и приложения, выявляют уязвимости и риски, не связанные с CVE, и приоритизируют выявленные риски.

Правительства и регулирующие органы также ужесточают нормы для обеспечения безопасности сетевого оборудования и подключенных устройств, делая обязательным соблюдение стандартов, таких как рекомендации Национального института стандартов и технологий (NIST) и Общий регламент по защите данных Европейского Союза (GDPR).

Сетевые устройства, такие как маршрутизаторы, коммутаторы, брандмауэры, VPN-шлюзы и беспроводные точки доступа, стали основными целями для кибератак. Уязвимости в таких устройствах активно эксплуатируются злоумышленниками, что делает их самой рискованной категорией IT-устройств. Уязвимости в IoT-устройствах выросли на 136% по сравнению с предыдущим годом, подчеркивая необходимость комплексных мер безопасности для всех подключенных устройств.

В отчёте также даются рекомендации для организаций по улучшению безопасности сетевого оборудования. Одной из ключевых рекомендаций является детальный анализ SBOM для достижения полной видимости программных активов. Это включает в себя создание комплексных SBOM для всех программных компонентов, сторонних библиотек и зависимостей, что помогает выявлять уязвимости, которые часто остаются незамеченными при традиционном сканировании.

Организациям также рекомендуется сосредоточиться на устранении использованных в атаках и сетевых уязвимостей, а не только полагаться на оценку по CVSS. Устраняя именно активно атакуемые недостатки, организации смогут более эффективно противостоять наиболее серьёзным угрозам.