Как измерить Time to Exploit?

Если вернуться к заметке про результат решения по управлению уязвимостями, то я там упоминаю такой показатель, как TTX, то есть Time to Exploit или время на эксплуатацию уязвимости, который очень сложно измерять самостоятельно. Так как же его тогда оценивать, чтобы сравнивать с другим показателем (Time to Notify, TTN)? Увы, универсального источника данных нет — придется регулярно оценивать этот показатель, опираясь на различные источники данных,

Например, по данным Mandiant в 2018-2019-м годах показатель TTX был равен 63-м дням, в 2020-м — 44-м дня, в 2021-2022-м — уже 32 дня. Налицо снижение времени на эксплуатацию уязвимостей. По данным Qualys этот показатель в 2023-м году был равен 44-м дням. Но… Всегда надо учитывать тип и критичность уязвимости. Например, в свежем отчете Cloudflare приводится такой показатель — первые попытки эксплуатации Zero Day в JetBrain (CVE-2024-27198) происходят через 22 минуты после публикации PoC.

По данным Qualys 25% CVE высокой степени критичности эксплуатируются в день публикации, а оставшиеся 75% — в течение 19 дней 🕯 По данным (https://www.reliaquest.com/blog/3-vulnerability-trends/) ReliaQuest не-Zero Day уязвимости начинают эксплуатироваться в среднем через 24,5 дня; 41% — в течение недели (у Rapid7 этот показатель равен 56%), 55% — в течение пары недель (некоторые из оставшихся эксплуатировались через 3 и более месяцев, что и привело к среднему значению в 24,5 дня, а не 14). При этом медианное время TTX (не путать со средним арифметическим), по данным Rapid7, составляет одни сутки

Я бы это значение в 24 часа и брал бы за базу TTX!

То есть данных для оценки показателя TTX выпускается немало — главное использовать их правильно, учитывая, что не все уязвимости одинаково критичны (не зря появляются такие понятия как «трендовые уязвимости» или «Known Exploited Vulnerabilities«). Ну и не забывайте, что если смотреть на задачу шире, не ограничиваясь только управлением уязвимостями, то помимо TTX вам нужно нужно будет измерять еще и TTA (Time to Attack), параметр, который показывает, сколько времени уходит у хакеров на достижение целевых систем. Например, по данным Positive Technologies, среднее значение TTA составляет 10 дней; хотя бывают случаи, когда проникновение в ЛВС осуществляется всего за 1 день. Но про TTA я еще напишу отдельно.

Time to Patch для веб-уязвимостей по данным Cloudflare составляет не менее 35 дней. Почему не менее? Потому что за 35 дней патч выпускается вендрами, а уж сколько времени уходить на их установку, Cloudflare не уточняет. Интереснее другое по данным Mandiant такая метрика как dwell time, то есть время между компрометацией и ее обнаружением, по итогам 2023 года составляет 10 дней (в 2022-м году — 16 дней).

Получается, что в среднем у нас TTA короче TTD (Time to Detect) вдвое (10 дней на проникновение и еще столько же на обнаружение этого факта). Что-то надо делать…

И ответ-то вроде очевиден — нужно инвестировать в технологии:

• обнаружения угроз различного типа (IDS, NDR, EDR, SIEM…)
• уменьшения площади атаки (ASM, VM…)
• автоматизации (SOAR, IRP, мета-продукты…).

А без этого время обнаружения (и это мы еще время реагирования не учитываем) так и останется на уровне 10 дней, что катастрофически много. За это время хакеры могут много нехороших дел натворить, а это недопустимо!