Większość (87 proc.) organizacji ma otwarte podatności w co najmniej jednej czwartej swoich aktywnych zasobów, a 41 proc. z nich wykazuje podatności w trzech na cztery zasoby – takie niepokojące dane podaje badanie Cisco, Kenna Security i Cyentia Institute.

Jak ustalono, prawie wszystkie (95 proc.) zasoby IT posiadają co najmniej jedną podatność, którą można łatwo wykorzystać.

Pocieszające może być jednak odkrycie, że w przypadku zdecydowanej większości (62 proc.) podatności istnieje mniej niż 1 proc. szans, że zostaną one wykorzystane przez cyberprzestępców. Tylko dla 5 proc. prawdopodobieństwo to przekracza 10 proc.

Już nie tak wesoła jest natomiast wiadomość, że w 2021 r. zgłoszono rekordową liczbę 20 130 podatności w oprogramowaniu – średnio 55 dziennie. Tylko 4 proc. z nich stanowiło wysokie ryzyko dla organizacji.

Z tych skromnych procentów przy takiej ilości coraz to nowych zagrożeń robią się jednak duże liczby. Prowadzi to do oczywistego wniosku.

Nawet najlepiej wyposażone i dysponujące odpowiednimi zasobami zespoły IT nie są w stanie usunąć wszystkich podatności w infrastrukturze – twierdzi Cisco.

Jak blisko 30-krotnie zmniejszyć ryzyko

Według Cisco nadawanie priorytetów podatnościom za pomocą kodu exploita jest 11 razy bardziej efektywne niż ocena CVSS (Common Vulnerability Scoring System) w minimalizowaniu możliwości ich wykorzystania.

Firma utrzymuje, że organizacja może zmniejszyć ryzyko naruszenia bezpieczeństwa cyfrowego nawet 29-krotnie, naprawiając w pierwszej kolejności luki wysokiego ryzyka i posiadając zdolność do usuwania skutków ataków.

Social listening, czyli wykorzystanie wzmianek na Twitterze w celu nadania priorytetów poprawkom oprogramowania jest dwa razy bardziej skuteczne w ograniczaniu wykorzystywania luk niż standardowy system oceny podatności CVSS – utrzymuje Cisco.

„Exploity w cyberprzestrzeni były kiedyś najlepszym wskaźnikiem tego, które luki w zabezpieczeniach powinny być traktowane priorytetowo. Teraz możemy dodatkowo określić prawdopodobieństwo, czy dana organizacja zostanie zaatakowana” – zapewnia Ed Bellis, współzałożyciel i dyrektor ds. technologii w Kenna Security (obecnie część Cisco).

Możliwości wykorzystania podatności do ataku na organizacje zostały określone przy użyciu otwartego systemu EPSS (Exploit Prediction Scoring System). Jest to międzybranżowy projekt, w którego skład wchodzą Kenna Security i Cyentia Institute, zarządzany przez FIRST.org.