Недавно вышел очередной квартальный выпуск ThinkstScapes, а там ссылочка на интересное исследование про стратегии обновления ПО, а если быть точнее, то про количественную оценку эффективности стратегий обновлений ПО для противодействия APT-атакам -
"Software Updates Strategies:A Quantitative Evaluation Against Advanced Persistent Threats".
В рамках данной работы авторы:
Проанализировали более 500 отчетов о более чем 350 атаках, проведенных 86 APT-группами за период с 2008 по 2022 годы, и создали базу данных.
Представили методологию количественной оценки и сравнения эффективности и стоимости различных стратегий обновления ПО.
Оценили стоимость и эффективность различных стратегий обновлений ПО для 5 ширпотребных офисных ПО под Windows.
Какие выводы:
Надо менять механизм обновлений ПО с целью ускорения самого процесса тестирования и накатки неуязвимых версий (ну, довольно очевидно).
Нет смысла покупать информацию о зеродеях у соответствующих контор, т.к. эффективность данной стратегии крайне мала (если кратко - деньги на ветер).
В целом, выводы, наверное, для большинства очевидны, НО меня в данной работе больше всего зацепил именно проведенный анализ APT-атак и формирование базы данных, в которой можно просмотреть связь APT-групп с проведенными атаками, техниками MITRE и используемыми уязвимостями. Развернул у себя копию БД - смотрите какая красота на скринах Базу можно обновлять и самому вручную, что тоже большой плюсик!
Дамп БД, скрипты и исходные данные для ее формирования можно скачать
тут. Там же можно найти подборку из более чем 400 отчетов об APT-атаках в формате pdf.
