0 added
0 removed
Original
2026-01-01
Modified
2026-02-19
1
<p>Разбираемся, как оценивать уязвимости по-настоящему: что чинить в первую очередь, а что можно отложить. Рассмотрим практические примеры, ошибки и работающие методы приоритизации, а также узнаем, почему одной оценки недостаточно. Автор статьи - Кирилл Казарин, спикер курса<a>"Администрирование Linux"</a>и автор телеграм-канала<a>Kazarin.online.</a></p>
1
<p>Разбираемся, как оценивать уязвимости по-настоящему: что чинить в первую очередь, а что можно отложить. Рассмотрим практические примеры, ошибки и работающие методы приоритизации, а также узнаем, почему одной оценки недостаточно. Автор статьи - Кирилл Казарин, спикер курса<a>"Администрирование Linux"</a>и автор телеграм-канала<a>Kazarin.online.</a></p>
2
<p><strong>Уязвимости</strong></p>
2
<p><strong>Уязвимости</strong></p>
3
<p>Уязвимость в ПО - это слабое место, через которое злоумышленник может вмешаться в работу системы. Типичный сценарий - использовать известную CVE, чтобы:</p>
3
<p>Уязвимость в ПО - это слабое место, через которое злоумышленник может вмешаться в работу системы. Типичный сценарий - использовать известную CVE, чтобы:</p>
4
<ul><li>получить доступ к данным;</li>
4
<ul><li>получить доступ к данным;</li>
5
<li>выполнить произвольный код;</li>
5
<li>выполнить произвольный код;</li>
6
<li>положить сервис;</li>
6
<li>положить сервис;</li>
7
<li>развернуть шифровальщик;</li>
7
<li>развернуть шифровальщик;</li>
8
<li>или просто затаиться и ждать?</li>
8
<li>или просто затаиться и ждать?</li>
9
</ul><p><strong><em>Сотни атак за последние годы начинались с одной строки в скан-отчёте.</em></strong></p>
9
</ul><p><strong><em>Сотни атак за последние годы начинались с одной строки в скан-отчёте.</em></strong></p>
10
<p><em>Примеры из жизни:</em></p>
10
<p><em>Примеры из жизни:</em></p>
11
<ul><li>Log4Shell (2021): RCE в log4j, широко используемой Java-библиотеке логирования. Месяцы "охоты", критичнейшие инциденты, долгий откат.</li>
11
<ul><li>Log4Shell (2021): RCE в log4j, широко используемой Java-библиотеке логирования. Месяцы "охоты", критичнейшие инциденты, долгий откат.</li>
12
<li>MOVEit (2023): уязвимость в ПО для обмена файлами, через которую утекли данные у множества компаний.</li>
12
<li>MOVEit (2023): уязвимость в ПО для обмена файлами, через которую утекли данные у множества компаний.</li>
13
<li>Fortinet SSL VPN (несколько CVE): стабильный источник RCE, активно эксплуатируется APT-группами.</li>
13
<li>Fortinet SSL VPN (несколько CVE): стабильный источник RCE, активно эксплуатируется APT-группами.</li>
14
</ul><p><strong>Что такое CVE и CVSS</strong></p>
14
</ul><p><strong>Что такое CVE и CVSS</strong></p>
15
<ul><li>CVE - это "паспорт" уязвимости: уникальный номер и базовое описание.</li>
15
<ul><li>CVE - это "паспорт" уязвимости: уникальный номер и базовое описание.</li>
16
</ul><ul><li>CVSS - система оценки риска: шкала от 0 до 10, где учитываются условия эксплуатации и последствия.</li>
16
</ul><ul><li>CVSS - система оценки риска: шкала от 0 до 10, где учитываются условия эксплуатации и последствия.</li>
17
</ul><p>CVSS сейчас существует в 4 версиях (1.0 → 4.0), но самые распространённые - v3.0 и v3.1.</p>
17
</ul><p>CVSS сейчас существует в 4 версиях (1.0 → 4.0), но самые распространённые - v3.0 и v3.1.</p>
18
<p>В 2023 вышла v4.0, но её пока поддерживают не все.</p>
18
<p>В 2023 вышла v4.0, но её пока поддерживают не все.</p>
19
<p><strong><em>CVSS делится на три уровня:</em></strong></p>
19
<p><strong><em>CVSS делится на три уровня:</em></strong></p>
20
<p>1. Base Score (что может сделать злоумышленник и насколько это страшно - без привязки к вашему окружению)</p>
20
<p>1. Base Score (что может сделать злоумышленник и насколько это страшно - без привязки к вашему окружению)</p>
21
<p>2. Temporal Score (актуальность и наличие эксплойта)</p>
21
<p>2. Temporal Score (актуальность и наличие эксплойта)</p>
22
<p>3. Environmental Score (насколько это критично **в вашей системе**)</p>
22
<p>3. Environmental Score (насколько это критично **в вашей системе**)</p>
23
<p>Сканеры уязвимостей (Trivy, Tenable, Qualys и др.) показывают Base Score, и только его</p>
23
<p>Сканеры уязвимостей (Trivy, Tenable, Qualys и др.) показывают Base Score, и только его</p>
24
<p><strong>Что такое вектор CVSS</strong></p>
24
<p><strong>Что такое вектор CVSS</strong></p>
25
<p>Каждая оценка CVSS включает вектор - набор параметров, описывающих атаку:</p>
25
<p>Каждая оценка CVSS включает вектор - набор параметров, описывающих атаку:</p>
26
<p>CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H</p>
26
<p>CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H</p>
27
<p>В нём содержатся такие параметры:</p>
27
<p>В нём содержатся такие параметры:</p>
28
<ul><li>AV (Attack Vector): удалённо или локально выполняется атака</li>
28
<ul><li>AV (Attack Vector): удалённо или локально выполняется атака</li>
29
<li>AC (Attack Complexity): насколько сложна эксплуатация</li>
29
<li>AC (Attack Complexity): насколько сложна эксплуатация</li>
30
<li>PR (Privileges Required): нужны ли учётки привелегированного пользователя чтобы сработало</li>
30
<li>PR (Privileges Required): нужны ли учётки привелегированного пользователя чтобы сработало</li>
31
<li>UI (User Interaction): нужено ли взаимодействие с пользователем</li>
31
<li>UI (User Interaction): нужено ли взаимодействие с пользователем</li>
32
<li>S (Scope): затрагивает ли другие компоненты</li>
32
<li>S (Scope): затрагивает ли другие компоненты</li>
33
<li>C/I/A: влияние на конфиденциальность, целостность, доступность</li>
33
<li>C/I/A: влияние на конфиденциальность, целостность, доступность</li>
34
</ul><p>Это как модель угроз, но к сожалению не конкретно ваша, а "сферическая в вакууме", чтобы можно было сравнивать уязвимости между собой.</p>
34
</ul><p>Это как модель угроз, но к сожалению не конкретно ваша, а "сферическая в вакууме", чтобы можно было сравнивать уязвимости между собой.</p>
35
<p><strong>Почему одной оценки недостаточно</strong></p>
35
<p><strong>Почему одной оценки недостаточно</strong></p>
36
<p>Уязвимость с CVSS 9.8 может оказаться вообще неэксплуатируема в вашей системе, а CVSS 5.5 при этом представлять критическую угрозу с точки зрения вашего бизнеса.</p>
36
<p>Уязвимость с CVSS 9.8 может оказаться вообще неэксплуатируема в вашей системе, а CVSS 5.5 при этом представлять критическую угрозу с точки зрения вашего бизнеса.</p>
37
<p><em>Пример:</em></p>
37
<p><em>Пример:</em></p>
38
<ul><li>CVE: удалённый RCE на сервере X</li>
38
<ul><li>CVE: удалённый RCE на сервере X</li>
39
<li>- Base Score: 9.8</li>
39
<li>- Base Score: 9.8</li>
40
</ul><p>Но в вашем случае:</p>
40
</ul><p>Но в вашем случае:</p>
41
<ul><li>сервер стоит в закрытом сегменте и доступ к нему тольк ос помощью VPN,</li>
41
<ul><li>сервер стоит в закрытом сегменте и доступ к нему тольк ос помощью VPN,</li>
42
<li>он не доступен из сети интернет и сам не может иметь к нему доступа</li>
42
<li>он не доступен из сети интернет и сам не может иметь к нему доступа</li>
43
<li>включена мандатная система контроля доступа типа SELinux или AppArmor,</li>
43
<li>включена мандатная система контроля доступа типа SELinux или AppArmor,</li>
44
<li>сервис на нем работает. от лица не привелированной учетной записи</li>
44
<li>сервис на нем работает. от лица не привелированной учетной записи</li>
45
</ul><p>Оценка по CVSS падает до 5.4 или даже 3.9 - из "Critical" превращается в "Low/Medium".</p>
45
</ul><p>Оценка по CVSS падает до 5.4 или даже 3.9 - из "Critical" превращается в "Low/Medium".</p>
46
<p>Это и есть Environmental Score - результат переоценки<strong>в контексте вашей инфраструктуры.</strong></p>
46
<p>Это и есть Environmental Score - результат переоценки<strong>в контексте вашей инфраструктуры.</strong></p>
47
<p><strong>Что такое управление уязвимостями</strong></p>
47
<p><strong>Что такое управление уязвимостями</strong></p>
48
<p>Vulnerability Management - это не процесс который представляет из себя нечто чуть сложнее чем "рах в неделю посмотреть в репорт сканера". например он включает следующие регулярные шаги?</p>
48
<p>Vulnerability Management - это не процесс который представляет из себя нечто чуть сложнее чем "рах в неделю посмотреть в репорт сканера". например он включает следующие регулярные шаги?</p>
49
<p>1. Получить данные (сканеры, баги, тикеты)</p>
49
<p>1. Получить данные (сканеры, баги, тикеты)</p>
50
<p>2. Оценить реальный риск (а не только по CVSS base)</p>
50
<p>2. Оценить реальный риск (а не только по CVSS base)</p>
51
<p>3. Принять решение (фикс, mitigation, отложить)</p>
51
<p>3. Принять решение (фикс, mitigation, отложить)</p>
52
<p>4. Задокументировать и отследить</p>
52
<p>4. Задокументировать и отследить</p>
53
<p>На больших компаниях этим занимаются отдельные команды. Но даже в стартапе на 5 человек можно и нужно:</p>
53
<p>На больших компаниях этим занимаются отдельные команды. Но даже в стартапе на 5 человек можно и нужно:</p>
54
<ul><li>поставить сканер (например, опенсорсный Trivy),</li>
54
<ul><li>поставить сканер (например, опенсорсный Trivy),</li>
55
<li>получить и выгрузить CVE,</li>
55
<li>получить и выгрузить CVE,</li>
56
<li>добавить их в Google Sheet,</li>
56
<li>добавить их в Google Sheet,</li>
57
<li>приоритизировать руками понять что делать</li>
57
<li>приоритизировать руками понять что делать</li>
58
</ul><p><strong>Зачем это всё?</strong></p>
58
</ul><p><strong>Зачем это всё?</strong></p>
59
<p>📉 Меньше фальшивых пожаров</p>
59
<p>📉 Меньше фальшивых пожаров</p>
60
<p>⏳ Больше времени на реальные угрозы</p>
60
<p>⏳ Больше времени на реальные угрозы</p>
61
<p>🧩 Прозрачный процесс принятия решений</p>
61
<p>🧩 Прозрачный процесс принятия решений</p>
62
<p>✅ Уважение аудиторов и инвесторов</p>
62
<p>✅ Уважение аудиторов и инвесторов</p>
63
<p>💼 Повышение зрелости процессов безопасности</p>
63
<p>💼 Повышение зрелости процессов безопасности</p>
64
<p>И, да, в маленьких командах это всё можно сделать быстрее и проще, чем в энтерпрайзе. У вас меньше легаси и проще выработать практики сразу.</p>
64
<p>И, да, в маленьких командах это всё можно сделать быстрее и проще, чем в энтерпрайзе. У вас меньше легаси и проще выработать практики сразу.</p>
65
<p>2025-07-18 16:15<a>Полезное</a></p>
65
<p>2025-07-18 16:15<a>Полезное</a></p>