30.7.24

Slučaj jedne phishing poruke

Pripremajući tekst koji je nedavno objavljen na portalu ideje.hr, uočio sam objavu AZOP-a od 11.7.2024. o pokretanju nadzora nad HZZO-om povodom sumnjivog phishing maila o kojem se tog dana pričalo (napominjem da sam ovu objavu AZOP-a primijetio tek prije nekoliko dana, a ne s danom objave na njihovim stranicama):



Sumnjivi mail koji je predmet nadzora, stigao je i do mojeg mailbox-a kao i do mailbox-a nekih mojih klijenata, pa sam već idućeg dana (12.7.2024.) napravio analizu maila.

Ako inkriminiranu poruku niste još vidjeli, prikazujem je u nastavku:



Sama poruka ima nekoliko očitih površno sastavljenih elemenata, prije svega čudan naziv pošiljatelja, bez obzira što, naizgled, dolazi s domene hzzo.hr. Zapravo, sama poruka ne bi ni trebala izazivati poseban interes jer bi i umjereno osviješćen korisnik trebao prepoznati krivotvorinu, no pokazalo sa da je mail poruka uspješno dospjela do brojnih primatelja, tako da smo već isti dan na radiju slušali upozorenje HZZO-a primateljima da ne otvaraju taj mail, a i neki programi elektroničke pošte su prikazali upozorenje o sumnjivom pošiljatelju.

Glavni razlog za provedbu analize je dobra praksa da se u slučaju propuštanja maila sa sumnjivim ili nedvojbeno malicioznim sadržajem do računala korisnika, dakle u situaciji kada takav mail nije zaustavljen na filteru mail servera, provede analiza maila te pokuša utvrditi tko je sve od korisnika dobio taj mail i je li možda netko otvorio sumnjivi privitak (odnosno neoprezno postupio na neki drugi način, ovisno od scenarije phishing maila, npr. je li na računalu pohranjena maliciozna datoteka). Dodatni doprinos takve analize je i pribavljanje dodatnih informacija koje će pomoći unaprijediti sigurnosne mjere ili pak dobiti dodatne informacije o potencijalnim napadačima.

Ukratko ću navesti osnovne zaključke analize, bez detaljnog opisivanja postupka.

Pokazalo se da je mail poruka pristigla sa mail servera Medicinskog  fakulteta u Beogradu, odnosno ishodište maila je bilo jednom računalu (vidi se njegova privatna IP adresa) koje je poruku proslijedilo mail serveru. Naravno, to nipošto ne znači da je fakultet ili netko sa fakulteta namjerno poslao ovaj mail, a ovaj zaključak je dobio još veće uporište nakon što sam napravio i sljedeće korake u analizi. U svakom slučaju, ili je računalo nekog korisnika – nastavnog osoblja ili možda studenta bilo zaraženo i poslužilo za slanje poruke ili je možda sam mail server bio kompromitiran. Zaključak se ne može donijeti bez forenzičke analize samog servera i računala pošiljatelja, no to je naravno izvan obuhvata ove analize. Ja sam jedino još mogao prikupiti javno dostupne dodatne podatke o samom mail serveru i pokazalo se da ima jako puno ranjivosti koje se mogu eksploatirati ali i da već ima povijest sličnih kompromitacija, pa ovaj server ostaje glavni osumnjičeni.

Sama mail poruka koja je došla do primatelja ima izrazito nespretno sastavljeno ime pošiljatelja („Hrvatskog zavoda za zdravstveno osiguranje <podataka.zastita <pri> hzzo [.] hr“). Znamo, naravno, da adresa pošiljatelja u tijelu poruke nije nužno relevantna informacija, ali njegova nespretna konstrukcija u ovom slučaju bi trebala biti dodatni indikator prevare. No, ja sam nastavio analizu i fokusirao se na privitak poruke.

Privitak je sadržavao komprimiranu datoteku potvrda.tar (dakle u komprimiranom tar formatu). Datoteku sam raspakirao u izoliranoj i kontroliranoj okolini i pokazalo se da u sebi sadrži izvršnu datoteku potvrda.cmd. Napadač je, pretpostavljam, ciljao na korisnike koji imaju instaliran program WinRAR i to njegovu raniju verziju iz 2023. uz koju je registrirana ranjivost CVE-2023-38831. Ovo je bila veoma opaka ranjivost koja je omogućila da se, nakon što korisnik klikne na poruku, benigno izgledajućoj datoteci iz arhive doda sufiks exe, nakon čega se datoteka izvodi. Ponavljam, ovo je moja pretpostavka zato što nisam testirao izvedbu na ranjivoj verziji WinRAR, ali svi indikatori ukazuju na ovu tehniku.

Nakon izvođenja, datoteka otvara komunikaciju prema Command&Control serveru koji se nalazi na Amazon Cloudu. Analiza je izdvojila IP adresu i ime servera kojem izvedeni program pristupa – www[.]sukhiclothing[.]com. Sama domena je kreirana na GoDaddy pružatelju registracijskih usluga i to putem proxy registranta tako da podaci o stvarnom vlasniku nisu vidljivi bez sudskog naloga ili posebnog „prijateljskog“ uvjeravanja za koje konzultant koji nije i consigliere nema osobite argumente.

Analiza raspakiranog programa na Virustotal i analiza mrežnog prometa koji se izvodio iz malicioznog programa prema kontrolnom serveru je pokazala da se radi o malwareu iz porodice FORMBOOK čija je osnovna namjena krađa podataka, no ovdje sam zastao s daljnjom analizom koja bi detaljnije opisala način rada ovog malicioznog programa. Zaključaka već sada imamo dovoljno.

Što se tiče samog malware, vidjeli smo iskorištavanje ranjivosti u paketu WinRAR. Ova je ranjivost zakrpana u kolovozu 2023. a postoje podaci da je aktivno iskorištavana kao zero-day ranjivost od travnja do kolovoza 2023. Uvjeren sam da i danas ima veliki broj nezakrpanih WinRAR instalacija.

Vjerujem da nije puno ljudi nasjelo na ovu izvedbu s HZZO predmetom, no uz pažljivije kreiranje phishing poruke, ova ranjivost ima veoma zgodan mehanizam za automatsko izvođenje (automatsko kreiranje i izvođenje exe datototeke).

Kada se sagleda cijela slika, još više smo uvjereni da je Medicinski fakultet u Beogradu imao ulogu korisne žrtve. Vrlo moguće da je netko iz Initial Access Broker djelatnosti prodao account za pristup ovom serveru najboljem ponuđaču ili najboljim ponuđačima.

Vraćam se sad na AZOP, s početa teksta, a ovo je i jedan od zaključaka teksta s portala ideje.hr. Umjesto prvoloptaške reakcije i upiranja prsta u krivu stranu, a i pojačanja panike koja je tada još vladala, bilo bi dobro da smo dobili analizu s ovakvim ili još dubljim detaljima. Možda AZOP i nije najpozvaniji ili najspremniji za ovakvu analizu, ali očekujem da netko ipak postoji. Minimalno što se moglo postići bila bi uputa prema kojoj bi tvrtke s manjom tolerancijom na rizike stavile kompromitirani mail server na crnu listu, a dobro bi došla i obavijest o opasnosti nezakrpanog programa WinRAR.

Za kraj, još djelić Only Murders in the Building / True Crime podcast zanosa. Imati ustanovu profila spomenutog fakulteta kao legitimnog pošiljatelja malicioznog maila, napadaču daje velike prilike za kreiranje dobrog preteksta tj. izgovora za scenarije socijalnog inženjeringa. Npr. upravo s ove adrese može doći dobro skrojeni i uvjerljiv mail s malicioznim sadržajem na neki drugi fakultet ili možda u bolnicu, čak i u Hrvatskoj. Recimo, dva tjedna ranije…


29.7.24

Članak o cyber prijetnjama na portalu ideje.hr

Kao što vidite, usporio sam dinamiku članaka na ovom blogu, no upravo sam objavio članak na portalu ideje.hr o faktorima koji olakšavaju manifestaciju cyber prijetnji. Temu sam stavio u kontekst recentnih napada na hrvatske sustave.


S obzirom da je kod cyber napada veoma značajan faktor i lokalizirana motivacija napadača, tj. motivacija specifično usmjerena na državu, organizaciju i/ili djelatnost žrtve, u tekstu naglašavam potrebu za dijeljenjem što je moguće više informacija o napadima iz kojih bi se mogla olakšati detekcija napada i unaprijediti obrana.

Tekst možete naći na ovoj stranici

9.6.23

Faktori reducirane percepcije cyber rizika

U prethodnom tekstu sam ocrtao polazišta za redefiniciju procjene rizika u okruženju cyber prijetnji. Fokusirao sam se na moje zapažanje da su ključni nositelji odluke o rizicima veoma skloni donositi odluke rizicima koje su nešto niže od realnih, drugim riječima skloniji su umanjivati rizike. Vjerujem da i kolege koji se bave procjenom rizika i sudjeluju u procesu upravljanja rizicima dijele isto iskustvo. 

Ujedno, iznio sam mišljenje da je neadekvatna ocjena rizika, koja ne uzima u obzir realne indikatore prijetnji i ranjivosti, glavni razlog za umanjivanje konačne razine rizika u tradicionalnim procjenama rizika.

Zbog čega procjena rizika nije utemeljena na realnim indikatorima?

Trokut prijetnje

U nekim slučajevima se radi o trivijalnim razlozima unatoč poznavanju specifičnosti cyber rizika –  na primjer o potpunom nepoznavanje specifičnosti cyber rizika ili o zadržavanju linije manjeg otpora i nastavku rada s uobičajenim, ali neadekvatnim, matricama rizika. 

No, puno češća su prisutna naša uvjerenja da cyber prijetnje, unatoč njihovoj plastičnoj opipljivosti, ne predstavljanju realnu opasnost za „naše okruženje“, „Neće nas nitko!“. Ova sklonost minoriziranju problema i reduciranoj percepciji cyber rizika već je dugo vremena predmet mojeg interesa.

Prije nego što se udubimo u glavne razloge zbog kojih procjena cyber rizika nije utemeljena na realnim indikatorima, preporučio bih promjenu pogleda na komponente rizika na temelju kojih određujemo izglednost cyber napada.

Tradicionalno, izglednost napada se određuje kao umnožak ocjene visine prijetnje i ocjene prisutnih ranjivosti – poslužimo se ovim pojednostavljenim pogledom. No, da bi dobili precizniji pogled, predlažem da izglednost napada re-definiramo kroz trokut prijetnje (Threat Triangle): njega čine komponente Namjera (Intent), Sposobnost (Capability) i Prilika (Opportunity). Na taj način, tradicionalne komponente rizika pogleda (visine prijetnje i ocjene prisutnih ranjivosti) kontinuirano sagledavamo kroz njihovu među-reakciju, pri čemu se uobičajena visina ranjivosti u velikoj mjeri projicira na komponente Sposobnost (Capability) i Prilika (Opportunity). Drugim riječima, odmah u fazi analize ranjivosti na sustavu potrebno je uzeti u obzir i način na koji napadači mogu materijalizirati takve ranjivosti (sredstvo iskorištavanja ranjivosti, potrebno znanje napadača za iskorištavanje ranjivosti, uvjeti koje napadač mora pripremiti za iskorištavanje ranjivosti). 

Cyber kill-chain i procjena rizika

Iako slijed cyber napada („cyber kill-chain“) možemo danas opisati veoma detaljno i slojevito, kod procjene visine cyber rizika obično se najviše fokusiramo na rizike vezane za inicijalni proboj jer svijest o (ne)izglednosti inicijalnog proboja (odnosno „Neće nas nitko!“ stav) usmjerava sve naše kasnije odluke koje proizlaze iz procjene rizika (osobito one odluke koje nas lažno umiruju). Dobro provedena procjena cyber rizika će uzeti u obzir i sljedeće faze u slijedu cyber napada, osobito one koje se neposredno nadovezuju na inicijalni proboj, no upravo je minoriziranje rizika inicijalnog proboja glavni razlog nesagledavanja sljedećih koraka slijeda cyber napada.

Stoga pitanje s kojim ću se pozabaviti u nastavku ove serije tekstova glasi: koji su razlozi zbog se neadekvatno percipiraju (čitaj: umanjuju) rizici proboja cyber prijetnji? 

Četiri glavne kategorije pogrešne procjene izglednosti cyber prijetnji 

Odgovor leži u nepoznavanju ključnih informacija relevantnih za procjenu cyber rizika, odnosno nedovoljnom upoznatosti osoba koje donose ocjenu o cyber rizicima o faktorima koji pospješuju djelovanje cyber prijetnji.

Ove razloge možemo svrstati u četiri glavne kategorije:

1. Nepoznavanje stvarne motivacije napadača (što uključuje i procjenu dobiti/gubitka za napadače)

2. Nedovoljna svijest o jednostavnosti inicijalnog proboja na mrežu žrtve

3. Prisutnost uvjerenja o svemogućnosti anti-malware zaštite

4. Zanemarivanje mjera kontrole pristupa i dodjele pristupnih prava

Naravno, ovo nisu jedine kategorije pogrešne percepcija cyber rizika. A osobito nisu zadnje tri točke i  jedine slabe točke koje napadači iskorištavaju. Dapače to je tek njihov manji broj, no odluke koje donosimo u procesu procjene rizika su u velikoj mjeri utemeljen upravo na ovim pogrešnim stavovima. Stoga, njihovim dobrim poznavanjem unaprijediti će se naša argumentacija kod ocjene rizika. 

U nastavku ćemo se pozabaviti svakom od ovih kategorija.

23.5.23

Učinimo „risk management“ (ponovo) značajnim

 Davne 2007 kada sam započeo pisanje ovog bloga, dodijelio sam ime „Upravljanje informacijskim rizicima“. Upravljanje rizicima sam shvaćao u svom suštinskom značenju, ne kao regulatornu obavezu. U to je vrijeme risk management još uvijek bio način razmišljanja na kojem se temeljila svaka odluka u, ne samo, informacijskoj sigurnosti. 

U međuvremenu, risk management dobiva značenje regulatorne obaveze, što je naravno samo pripomoglo njegovoj promociji i unaprjeđenju značaja. Ipak, s vremenom je prevladalo regularno značenje, zanemarujući  njegovu suštinsku primjenu. Risk management je postao rutinski proces a odluke najvišeg rukovodstva su ponegdje postale isključivo formalni korak.

Takav risk management je dočekao cyber prijetnje ponajprije na krilima stare slave, ali s neadekvatnim razumijevanjem novih prijetnji. Susreo sam jako puno organizacija koje kroz niz prethodnih godina nisu značajno unaprijedile osnovne mjere za sprječavanje cyber prijetnji, a da u isto vrijeme nisu povećale razinu rizika uslijed eskalacije cyber prijetnji. Glavni razlog vidim u činjenici da visine rizika nisu utvrđene temeljem realnih okolnosti. Zapravo i ne poznajem nikoga tko je adekvatno povisio razinu i pri tome povećao vlastiti apetit za rizika. To bi bilo puno poštenije.

Stoga, pitanje glasi: možemo li u vremenu cyber prijetnji risk management ponovo učiniti značajnim? Smatram da možemo, a postoje dva važna polazišta da se to postigne.

Tradicionalne prijetnje i cyber prijetnje

Prvo, moramo postati svjesni da se tradicionalni risk management (opisan u uvodnom dijelu teksta, a koji je postao mainstream u proteklih desetak do petnaest godina) prije svega bavio tradicionalnim prijetnjama – tehničke nepogode, prirodne nepogode, ljudske greške i romantičarski motivirani hackeri. Ključni element u ocjeni prijetnje bila je frekvencija prethodno registriranih događaja izazvanih ovim prijetnjama. I da –  to je bilo vrijeme dok je perimetar završavao na firewallu, unutarnja mreža je bila svijet za sebe.

Pojava cyber napada izaziva i promjenu prije načina procjene izglednosti prijetnje. Dok se kod tradicionalnog risk managementa nije moralo detaljnije ulaziti u svojstva prijetnji (npr. osoba koja je vodila procjenu rizika nije morala poznavati geofizičke zakonitosti da bi uzela u obzir mogućnost nastupanja potresa procjene rizika niti je trebala biti stručnjak za prijenos električne energije da bi procijenila mogućnost ispada sustava prijenosa u lokalnoj trafostanici) kod cyber prijetnji se stvari temeljito mijenjaju. Bez dobrog poznavanja i bez prethodne analize samih izvora i motiva prijetnji, načina njihove manifestacije, kao i bez dobrog poznavanja svojih slabosti povezanih s pojedinim prijetnjama nije moguću kvalificirano procijeniti izglednost nastupanja cyber prijetnji. 

Pozicioniranje cyber rizika na strateškoj, operativnoj i taktičkoj razini

Druga bitna točka je pozicioniranje risk managementa. Inzistirajući na regulatornom značaju, promakla nam je činjenica da se svaka odluke o provedbi neke zaštitne mjere – od vezivanja pojasa u automobilu preko konfiguracije domenskih Group Policy postavki pa do primjene najnaprednijih sigurnosnih tehnologija, temelji na procjeni rizika. Samo je dio tih odluka rezervirano za najviši management – tu govorimo o strateškoj procjeni rizika, no procjena rizika se svakodnevno primjenjuje na taktičkim i operativnim razina.  

Stoga, nužno je znati da se odluke o odgovoru na cyber prijetnje koje se donose na taktičkoj i operativnoj razini temelje na procjeni rizika ali ne moramo nužno govoriti o metodologijama i standardima i ne moramo razmišljati u matricama, iako se dobar dio odluka može uvjetovati specifičnim algoritmima i kriterijima. Ovdje nam je puno važnija realna i točna informacija o motivima napadača, poznavanje anatomije cyber napada, identifikacija nedostataka i ranjivosti koji pogoduju širenju prijetnji, a procjena izglednosti se donosi u okvirima dnevnog operativnog djelovanja. Ili, slikovitije rečeno, da bi odredili realnu visinu rizika, a potom odabrali adekvatnu zaštitnu mjeru, morate razmišljati kao napadači. A kad su cyber napadači u pitanju, onda je to znanje sve drugo samo ne suhoparno.

Kada taktički i operativni procesi počnu upijati ove informacije, te kada taktičko i operativno djelovanje bude utemeljeno na ovim informacijama, onda će tako redefinirana procjena pozitivno djelovati na odluke o rizicima koje se donose na strateškim razinama u redovitim godišnjim intervalima.

Ipak, čini se da ova jednostavna preporuka za donošenje realne ocjene o cyber rizicima uglavnom ne nailazi na plodno tlo. Stoga, u sljedećim nastavcima ću se detaljnije baviti razlozima zbog kojih smo skloni umanjivati rizike uzrokovane cyber prijetnjama.

8.6.22

"Vulnerability Management" - nekad i sad

U pripremi ovogodišnje korisničke konferencije Qualys Security Day, prisjetio sam se dolaska Qualys-a na hrvatsko tržište, u čemu sam neposredno sudjelovao. Bilo je to 2006. godine, mrežno skeniranje je bila jedina dostupna tehnika otkrivanja ranjivosti. Tipično, predmet interesa su bili mrežni poslužitelji, uglavnom perimetarski, a pretplate su obuhvaćale ne više od stotinjak poslužitelja, ponekad i znatno manje. Tipični driver koji je stajao iza „Vulnerability Management“ procesa bio je „Compliance“, a tek su rijetki korisnici bili vizionarski motivirani pravilnom percepcijom sigurnosnih rizika. Cyber prijetnje nisu imale ono značenje koje imaju danas.

Nadležnost „infosec“ odjela za računalne ranjivosti, ako smo uopće mogli govoriti o „infosec“ odjelima krajem prvog desetljeća ovog stoljeća, bila je tek izvještavanje o detektiranim ranjivostima, a zadatak njihovog otklanjanja je preusmjeravan na IT operativu. Primjena popravaka i/ili instalacije novih verzija softvera smatrala se uskom odgovornošću specijaliziranih timova (od operative, razvoja, help-deska…), a strah od neuspješne primjene popravaka, od prekida rada aplikacija nakon primjene novog popravka ili nakon promjene konfiguracijske postavke bio je puno veći od straha uzrokovanog pojavom sigurnosnih prijetnji, pa je i postupak primjene bio znatno sporiji.

A u ovih 16 godina (zapravo, konferenciju smo planirali na donekle okruglu obljetnicu u 2021. ali zbog poznatih uvjeta je događaj odgođen), došlo je do izuzetnih promjena na području računalnih prijetnji.

Krenimo od promjena koje su utjecale na povećanje visine rizika:

  • Perimetar se preselio sa stvarnog ruba mreže na unutarnji dio mreže. Sada ga čine osobna računala, ali i nove forme obrade podataka kroz kontejnere.
  • Broj ranjivosti rapidno raste iz godinu u godinu, način njihove detekciji postaje sve učinkovitiji, tako da i broj detektiranih ranjivosti postaje sve veći (npr. detekcija pomoću agenata kao što je Qualys Cloud Agent) 
  • Eksploatacija ranjivosti je postala ili dobro utemeljena industrijska djelatnost ili bogato sponzorirana državna agentura. Nekad dominantni hobisti tako su integrirani u sustav, uz redovite i obilne prihode, iako su poneki od njih prešli na svijetlu stranu.

Ukratko, „cyber“ prijetnje su pružile jasan razlog svog interesa za računalne ranjivosti.

Nažalost, disciplina upravljanja računalnim ranjivostima u novo-nastaloj situaciji nije pružila adekvatan odgovor, barem ne u onom ritmu kojeg su nametnule cyber prijetnje.  Nadležnost za primjenu popravaka i dalje ostaje u odjelima IT operative, uz sve njihove rezerve koje su postojale i ranije.

Promjene koje gore navodim nisu nimalo pomogle popraviti situaciju. Povećanje broja ranjivosti koje treba otkloniti samo je dodatno frustriralo timove iz IT operative. Frontalni i neselektivni pristup primjeni popravaka je pojačao uobičajenu, blago rečeno, rezervu koju IT operativa ima prema „compliance“ obavezama, kako ovi timovi primarno percipiraju proces primjene popravaka. Kombinirano s uobičajenim strahovima, to je zapravo značilo još nižu razinu učinkovitosti procesa primjene popravaka.

U isto vrijeme, „infosec“ odjeli se i dalje smatraju odgovornim u slučaju kada dođe do proboja cyber prijetnji, a s obzirom na sve veću frekvenciju cyber napada i sve veći broj ranjivosti koje ovi napadi iskorištavaju, sasvim je izvjesno da će CISO biti prva osoba čija će se glava tražiti nakon cyber incidenta.  

Ukratko: „infosec“ odjeli su izloženi puno nepovoljnijim posljedicama zbog sve izglednijih proboja cyber napada, a istovremeno su lišeni mogućnosti primjene jedne od najznačajnijih preventivnih mjera: efikasnog otklanjanja ranjivosti.

Izlaz iz takve situacije treba potražiti u sljedećoj doktrini:

  • „Infosec“ mora dobro poznavati cjeloviti obuhvat imovine izložene cyber prijetnjama (tradicionalni „Asset management“ procesi ne pružaju nužno adekvatnu razinu ažurnosti i detaljnosti, često su odvojeni od „infosec“ procesa, ponekad i nedostupni jer funkcioniraju po principu silosa)
  • Potrebno je prioritizirati detektirane ranjivosti sukladno prisutnosti Threat Intelligence faktora, kao što su prisutnost exploita, iskorištavanje ranjivosti u evidentiranim i ostvarenim prijetnjama, kumulativni potencijal detektirane ranjivosti (CVSS ipak pokazuje manjkavosti u odnosu na dosljednu primjenu ovih zahtjeva)…
  • Potrebno je prioritizirati ranjivosti s obzirom na značaj, smještaj te poslovni kontekst resursa na kojem je detektirana ranjivost…
  • Dobrodošlo je pružiti polugu (alat) „infosec“ odjelu za primjenu programskih popravaka i korekcija postavki

Cilj je provući sve detektirane ranjivosti kroz ljevak prema jasno definiranim kriterijima te izvući dio ranjivosti, možda tek desetinu u odnosu na ukupni broj, na koje se IT operativa mora fokusirati. Ovo je jako liješpo ilustrirano na sljedećoj slici (prema Transitioning to a Risk-based Approach to Cybersecurity):


I ne samo to: bilo bi dobro  „infosec“ odjelu dati alat koji će im omogućiti da se sami obračunaju s ovim ranjivostima. Qualys je objavio zanimljiv podataka: analizom vremena otklanjanja detektiranih ranjivosti utvrđeno je da korisnici koji primjenjuju popravke kroz modul Qualys Patch Management (sustav integriran s  Qualys VMDR modulom), popravke primjenjuju 60% brže u odnosu na korisnike koji upotrebljavaju suatve za primjenu popravaka koji nisu integirani s Vulnerability Management modulom.

Ova doktrina nas konačno vodi do mogućnosti stvarne kvantifikacije težine računalnih ranjivosti te do kvantifikacije rizika s obzirom na stvarno stanje ranjivosti i prisutni prijetnji. Primjenom ove doktrine, „infosec“ odjel odbacuju „compliance“ ruho, te postaje kreator odluka temeljenih na realnim rizicima. 

Qualys Cloud Platform je jedan od primjera na tržištu koje ukazuje na usvajanje navedene doktrine. Ova platforma kontinuirano uključuje nove module i nove sposobnosti, a upravljanje ranjivosti na temelju rizika postaje ključan mehanizam za provedbu „workflow-a“ ojačanja informacijskih sustava. 

A sve je krenulo od običnog skeniranja mreže prije dvadesetak godina…