Если вернуться к заметке про результат решения по управлению уязвимостями, то я там упоминаю такой показатель, как TTX, то есть Time to Exploit или время на эксплуатацию уязвимости, который очень сложно измерять самостоятельно. Так как же его тогда оценивать, чтобы сравнивать с другим показателем (Time to Notify, TTN)? Увы, универсального источника данных нет — придется регулярно оценивать этот показатель, опираясь на различные источники данных,
Например, по данным Mandiant в 2018-2019-м годах показатель TTX был равен 63-м дням, в 2020-м — 44-м дня, в 2021-2022-м — уже 32 дня. Налицо снижение времени на эксплуатацию уязвимостей. По данным Qualys этот показатель в 2023-м году был равен 44-м дням. Но… Всегда надо учитывать тип и критичность уязвимости. Например, в свежем отчете Cloudflare приводится такой показатель — первые попытки эксплуатации Zero Day в JetBrain (CVE-2024-27198) происходят через 22 минуты после публикации PoC.
По данным Qualys 25% CVE высокой степени критичности эксплуатируются в день публикации, а оставшиеся 75% — в течение 19 дней 🕯 По данным (https://www.reliaquest.com/blog/3-vulnerability-trends/) ReliaQuest не-Zero Day уязвимости начинают эксплуатироваться в среднем через 24,5 дня; 41% — в течение недели (у Rapid7 этот показатель равен 56%), 55% — в течение пары недель (некоторые из оставшихся эксплуатировались через 3 и более месяцев, что и привело к среднему значению в 24,5 дня, а не 14). При этом медианное время TTX (не путать со средним арифметическим), по данным Rapid7, составляет одни сутки
Я бы это значение в 24 часа и брал бы за базу TTX!
То есть данных для оценки показателя TTX выпускается немало — главное использовать их правильно, учитывая, что не все уязвимости одинаково критичны (не зря появляются такие понятия как «трендовые уязвимости» или «Known Exploited Vulnerabilities«). Ну и не забывайте, что если смотреть на задачу шире, не ограничиваясь только управлением уязвимостями, то помимо TTX вам нужно нужно будет измерять еще и TTA (Time to Attack), параметр, который показывает, сколько времени уходит у хакеров на достижение целевых систем. Например, по данным Positive Technologies, среднее значение TTA составляет 10 дней; хотя бывают случаи, когда проникновение в ЛВС осуществляется всего за 1 день. Но про TTA я еще напишу отдельно.
Time to Patch для веб-уязвимостей по данным Cloudflare составляет не менее 35 дней. Почему не менее? Потому что за 35 дней патч выпускается вендрами, а уж сколько времени уходить на их установку, Cloudflare не уточняет. Интереснее другое по данным Mandiant такая метрика как dwell time, то есть время между компрометацией и ее обнаружением, по итогам 2023 года составляет 10 дней (в 2022-м году — 16 дней).
Получается, что в среднем у нас TTA короче TTD (Time to Detect) вдвое (10 дней на проникновение и еще столько же на обнаружение этого факта). Что-то надо делать…
И ответ-то вроде очевиден — нужно инвестировать в технологии:
- обнаружения угроз различного типа (IDS, NDR, EDR, SIEM…)
- уменьшения площади атаки (ASM, VM…)
- автоматизации (SOAR, IRP, мета-продукты…).
А без этого время обнаружения (и это мы еще время реагирования не учитываем) так и останется на уровне 10 дней, что катастрофически много. За это время хакеры могут много нехороших дел натворить, а это недопустимо!
Если TTX не включает разработку эксплоита, то TTX измеряется минутами
Если TTX включает разработку эксплоита, то тут ситуации две: если стабильный эксплоит возможен, то он разрабатывается за день (я общался с коллегами из MS, выпускающими патчи, с их слов, их патчи реверсятся за ночь и в течение дня мотивированные ребята имеют стабильный 1-day), если стабильный эксплоит невозможен, то, соответственно, его не будет никогда (но тогда и уязвимость не будет critical )
В большинстве случаев берут готовый 1-day
Откуда берутся 22 дня, я не понял, прошу прощения
Ну справедливости ради даже вы у себя пишите про «недели с момента выхода эксплойта», которые самые опасные, не минуты. А вот откуда минуты я не очень понял. Как показывает наша статистика — и по расследованиям, и по пентестам, там все-таки не минуты. Ну то есть такое бывает, но ооооочень редко. Все-таки чаще это часы для high critical дыр и дни для многих остальных и недели для оставшихся. В итоге, в среднем, получается 22 дня. Но по трендовым уязвимостям — до суток обычно на эксплуатацию с момента появления факта уязвимости.
Похоже у нас с тобой немного путаница в слове exploit. Ты под ним подразумеваешь существительное или глагол?