«Миф» (Mythos) от Anthropic усугубил проблему, с которой программы управления уязвимостями и так с трудом справлялись: слишком много уязвимостей и недостаточно ясности в том, какие из них действительно важны.
Что меняется с появлением Mythos — и представляемого им класса систем обнаружения уязвимостей на базе ИИ — это скорость, с которой могут быть найдены и использованы программные ошибки.
Эта скорость ставит перед защитниками более насущный вопрос: какие уязвимости требуют немедленных действий?
Anthropic указала на один из методов. В рекомендациях, связанных с их работой над ускоренным злонамеренным использованием ИИ, компания предложила использовать Систему оценки предсказания эксплойтов (EPSS) — вероятностную модель, разработанную специалистами по данным из Empirical Security и опубликованную через FIRST, — в качестве способа приоритизации уязвимостей по мере роста их обнаружения.
По словам Anthropic, «Сначала установка исправлений для списка KEV [каталог известных эксплуатируемых уязвимостей CISA], а затем всего, что выше выбранного порога EPSS, поможет вам превратить тысячи открытых CVE в управляемую очередь».
«EPSS использует те же вероятностные модели, что и метеорологи», — рассказал CSO Майкл Ройтман, соучредитель и технический директор Empirical Security, а также один из авторов оригинальной EPSS. «Прогноз заключается в том, какие уязвимости, вероятно, будут использованы где-либо в интернете в ближайшие 30 дней».
Ройтман добавил: «Мы не боремся с дождем, постоянно держа над головой зонт. У нас есть прогностические модели, которые говорят нам, стоит ли брать зонт с собой».
Эд Беллис, генеральный директор Empirical Security, сообщил CSO, что рекомендация Anthropic выделяется благодаря тому, кто ее сделал, а не потому, что EPSS является чем-то новым. По словам Беллиса, это был первый случай, насколько ему известно, когда крупный поставщик больших языковых моделей явно одобрил вероятностную, специально разработанную модель для приоритизации уязвимостей.
Система, уже находящаяся под нагрузкой
Mythos появляется в то время, когда экосистема уязвимостей и так испытывает серьезное давление.
Совсем недавно объем новых уязвимостей заставил NIST сократить обогащение своей Национальной базы данных уязвимостей (NVD) только для определенных CVE. NVD обогащает отчеты об уязвимостях оценками CVSS, которые разрабатываются FIRST, в то время как EPSS предоставляет отдельную оценку вероятности эксплуатации.
«Тот факт, что [NIST] сужает круг уязвимостей, на которых они собираются сосредоточиться [для CVSS], объясняется тем, что все это управляется человеком», — сказал Беллис. EPSS, напротив, управляется машиной и может применяться ко всем CVE, с ежедневной публикацией оценок.
«Это управляется машиной, и это модель машинного обучения, которая в конечном итоге оценивает эту уязвимость», — добавил Беллис. «Средняя практика управления уязвимостями сегодня не рассматривает это с точки зрения машинного обучения и данных, но могла бы».
Согласно Zero Day Clock, среднее время эксплуатации уязвимости после ее обнаружения в этом году достигнет одного часа, а к 2028 году сократится до одной минуты, по сравнению с 2,3 годами в 2018 году.
Руководители служб безопасности взвешивают обещания и реальность
Поставщики решений в области безопасности все чаще включают оценки EPSS в свои системы.
По словам Ройтмана, EPSS была интегрирована более чем в 120 продуктов поставщиков решений в области безопасности, включая платформы CrowdStrike, Cisco, Palo Alto Networks, Qualys и Tenable.
«Я не думаю, что другие CISO осознают, насколько широко распространено внедрение EPSS, но это внедрение — отличная новость для отрасли», — сказал CSO Джеймс Робинсон, CISO в Netskope.
«EPSS, примененная к [программным ошибкам], является важным шагом в определении того, применима ли эта эксплуатируемая уязвимость к вашей реализации или эксплуатации», — сказал он, добавив, что «роль, которую EPSS может сыграть в выявлении уязвимостей, не являющихся CVE, обнаруженных с помощью Mythos и других грядущих моделей, чрезвычайно полезна».
Аарон Вайсман, CISO в Main Line Health, приветствовал более быстрое обнаружение уязвимостей, но усомнился в том, применимы ли рекомендации к таким секторам, как здравоохранение, заявив CSO: «Будет интересно посмотреть, насколько действенными будут эти рекомендации для критической инфраструктуры — такой как здравоохранение, коммунальные услуги, государственные структуры и другие, — где немедленное и автоматизированное исправление может быть затруднено из-за распространенности устаревшего оборудования и программного обеспечения».
Не все защитники принимают концепцию EPSS или даже CVSS для реагирования на быстрое обнаружение уязвимостей.
«Говоря прямо: и CVSS, и EPSS по своей сути устарели в эпоху „Mythos“ и требуют полного переосмысления», — заявил CSO Рами Хуссейни, главный специалист по киберрешениям в Cloudflare. «EPSS полагается на запаздывающие 30-дневные исторические данные, но ИИ сократил время до эксплуатации до нескольких минут. Вместо того чтобы ждать прогностической оценки для приоритизации исправлений, выполняемых с человеческой скоростью, организациям необходимо перейти к защите в режиме реального времени».
Управление подверженностью выйдет за рамки CVE
Хотя большая часть анализа мощи Mythos в обнаружении уязвимостей была сосредоточена на общих приложениях, к которым могут быть применены CVE, его открытия, скорее всего, выявят миллионы других уязвимостей, которые не соответствуют этому определению. «Аналогичный процесс происходит в облачных средах и приложениях, где нет общего перечислителя для этих приложений», — сказал Ройтман из Empirical Security.
«Мое приложение выглядит совсем не так, как ваше, даже если оно написано на том же языке», — добавил он. «Поэтому, когда мы думаем о расширении этого вероятностного моделирования на все управление подверженностью, что может быть даже большей проблемой, чем сами CVE, мы должны подумать о создании локальных прогностических моделей для приложений, облаков, конфигураций, неправильных конфигураций, и это еще одно упражнение по использованию существующих инструментов безопасности и созданию небольших, специально разработанных моделей вместо того, чтобы люди выполняли ручную сортировку».
Короче говоря, Mythos и конкурирующие модели ИИ скоро смогут находить миллионы и миллионы уязвимостей, которые не впишутся в модель CVE. «Мы постоянно видим предприятия, у которых могут быть десятки миллионов открытых экземпляров уязвимостей, не говоря уже о чистом объеме тех классов ошибок, которые они обнаружат на фронте ИИ», — сказал Беллис.
«Это проблема, но небо не падает», — сказал Ройтман. «Есть методы для управления этим».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Cynthia Brumfield
