Информация об уязвимостях в продуктах АСУ и некоторых распространенных технологических решениях для промышленных предприятий, доступная в открытых источниках и даже предоставляемая самими вендорами, часто содержит серьезные ошибки и неточности и упускает важные детали. При использовании такой информации возникает риск пропустить критическую для предприятия уязвимость или потратить ресурсы на нейтрализацию по сути несущественной проблемы.
Проблема
Решение
Использование достоверных, актуальных и проанализированных данных об известных уязвимостях в продуктах АСУ и других решениях, применяемых в технологической среде предприятия, а также максимально подробной информации о новых уязвимостях, обнаруженных Kaspersky ICS CERT. Дополнительно мы предоставляем рекомендации по эффективному устранению уязвимостей.
Kaspersky ICS Vulnerability Database создана экспертами Kaspersky ICS CERT для специалистов в области кибербезопасности, аналитиков угроз и менеджеров по рискам, которым важны точность и контекст:
Для кого
Промышленные предприятия различных отраслей, провайдеры услуг информационной безопасности (Managed Security Service Providers, MSSP), центры мониторинга информационной безопасности (Security Operation Center, SOC), производители АСУ, центры исследования безопасности (Cyber Emergency Response Team, CERT), центры анализа и обмена информацией (Information Sharing and Analysis Center, ISAC).
Содержание
Проблемы с данными из открытых источников и от вендоров
Неточность
Наш опыт показывает, что производители иногда предоставляют недостаточно точную информацию об уязвимых продуктах:
- не указывают точный перечень версий, комплектаций и конфигураций продукта, содержащего уязвимый программный компонент, мотивируя клиентов переходить на новые версии своих продуктов, даже если это не требуется для устранения конкретной уязвимости;
- не информируют об уязвимостях в снятых с поддержки продуктах;
- «забывают» указать целую линейку продуктов, построенных на той же уязвимой кодовой базе.
При сопоставлении информации о версиях продуктов, используемых на предприятии, с данными производителя об уязвимых продуктах такие неточности приводят как к ложноотрицательным, так и к ложноположительным результатам оценки защищенности систем технологической сети.
Очевидно, что отсутствие информации об уязвимости в конкретной версии или конфигурации продукта — серьезная проблема. Но слишком «общее» описание списка уязвимых версий, комплектаций и конфигураций влечет за собой гораздо более тяжелые последствия, чем пропуск одной уязвимости. Часто в таких случаях принимается решение «принять риск, что системы АСУ уязвимы, и ничего не делать вовсе», поскольку обновлять слишком большое количество систем предприятию может быть просто не под силу.
Однако в реальности защитные меры (и даже необязательно обновления) могут требоваться далеко не всем системам, а лишь некоторым из попавших в список.
Сложность интерпретации
Информация об уязвимостях, размещаемая в публичных источниках, чаще всего представлена в виде, который не поддается автоматизированной обработке. Это сильно осложняет автоматическое сопоставление данных об уязвимости с перечнем версий программного или аппаратного обеспечения, используемого на предприятии. Отсутствие машиночитаемого формата вынуждает привлекать специалистов для трудоемкого «ручного» анализа.
Неоднозначная детализация описания уязвимости
Производители часто указывают в описании уязвимости минимум информации: не приводят условия эксплуатации продукта с уязвимостью, не указывают явным образом на уязвимый компонент или не дают объективную оценку возможных последствий эксплуатации такого продукта.
Подобные неудобства приводят к неверной оценке риска атаки на уязвимые системы и становятся причиной неоптимальных или вовсе неверных решений о снижении риска и принятии необходимых и достаточных мер защиты.
Неэффективность рекомендуемых мер
Меры, рекомендованные производителем для устранения уязвимости, могут быть избыточными или, наоборот, недостаточными для эффективной защиты от предполагаемого вектора атаки. Иногда производитель предлагает установку обновления как единственно возможную меру защиты, не предлагая альтернатив. Бывает и так, что предлагаемое производителем обновление в реальности не устраняет уязвимость полностью и оставляет пути для ее эксплуатации. Или так, что устранение уязвимости вовсе не снижает риск атаки, ввиду существования в системе архитектурных проблем безопасности — бессмысленно латать дыру в заборе при настежь открытых воротах.
Что мы предлагаем
Доступ к Kaspersky ICS Vulnerability Database
- Откорректированная и дополненная информация об уязвимостях, их критичности, механизмах и возможных последствиях эксплуатации.
- Детальный список продуктов, включающий только те модели/версии/комплектации/конфигурации продуктов, которые действительно содержат уязвимость.
- Полное наименование каждой модели/версии продукта согласно нотации вендора (с указанием точной версии прошивки для устройств) и машиночитаемое обозначение.
- Расширенный перечень мер по устранению уязвимости, содержащий комментарии к рекомендациям вендора в части их применимости, а также альтернативные предложения.
Полная и достоверная информация об уязвимостях позволяет принимать обоснованные решения при разработке плана и комплекса мер по их устранению, снижать связанные с этим затраты и риски кибербезопасности в целом.
Как мы работаем
Проводим поиск и исследование новых и анализ уже известных уязвимостей
Мы занимаемся поиском и исследованием новых уязвимостей в популярных продуктах АСУ ТП, а также анализом информации об уже известных. Результаты вносим в базу данных по мере их поступления.
Постоянно мониторим основные источники информации
Отслеживаем все основные источники информации об уязвимостях (MITRE, NVD, US-CERT, крупные производители ПО и оборудования, публикации исследователей безопасности, обнаруживших уязвимость).
Тщательно анализируем данные
Вся информация об уязвимостях перед занесением в базу данных Kaspersky ICS CERT подвергается детальной проверке и анализу на предмет полноты и достоверности.
Актуализируем список уязвимых продуктов
Исследуем продуктовые линейки производителей, изучаем их функциональность и компонентную базу, чтобы проверять и актуализировать список уязвимых продуктов, фиксируя все модели и версии, комплектации и конфигурации, подверженные уязвимостям.
Осуществляем поиск информации по уязвимостям в сторонних технологиях, используемых в АСУ ТП
Особенное внимание уделяем уязвимостям в сторонних технологиях, распространенных в решениях АСУ ТП, и поиску информации о конечных продуктах, использующих общие компоненты.
Предлагаем способы устранения уязвимостей
Для каждой уязвимости составляем рекомендации по ее устранению — как на основе нашей собственной экспертизы, так и с учетом лучших практик.
Что получает клиент
Важные данные об уязвимостях
- CVE.
- Описание уязвимости.
- Условия и последствия эксплуатации.
- Числовая оценка серьезности уязвимости и ее вектор по стандарту CVSS (Сommon Vulnerability Scoring System).
- Список продуктов, подверженных уязвимости, где каждая запись содержит машиночитаемое имя продукта с указанием конкретной версии по стандарту CPE (Common Platform Enumeration).
- Расширенный список рекомендаций по устранению уязвимостей с альтернативными вариантами и экспертной оценкой эффективности установки предоставленных производителем обновлений.
Данные предоставляются как в машиночитаемом формате в виде регулярно обновляемого потока данных (JSON), так и в виде регулярных отчетов в удобочитаемом формате.
