У ИБ-команды крупной компании на экране — очередной отчёт сканера. В списке сотни строк, а в почте уже лежат три письма от админов: «пришлите в другом формате», «это ложное срабатывание», «сначала согласуйте окно». К вечеру уязвимость с оценкой 9,8 всё ещё стоит в статусе «на разборе».
Что произошло
Дмитрий Беляев пересказал разговор с двумя практиками, которые давно работают с уязвимостями и устали от красивых презентаций. Главная мысль простая: инфраструктура не «забывает» про уязвимости сама по себе — их годами удерживают процессы, метрики и привычка делать вид, что одна цифра всё объясняет.
Именно поэтому тема управления уязвимостями снова упирается в старый вопрос: что считать критичным, кому верить и почему отчёт не превращается в закрытую дыру в системе.
Как это сделано: почему старые метрики больше не тянут
Первый спорный тезис — жизнь по CVSS, метрике, которой уже больше двух десятилетий. Эксперты назвали её субъективной: оценка зависит от того, кто заполнил анкету и насколько он вообще понимает конкретный баг. CVSS не показывает, эксплуатируют ли уязвимость прямо сейчас, и не говорит, есть ли у неё зрелый эксплойт.
На этом фоне многие смотрят на EPSS и KEV. Но и там всё не идеально. EPSS пытается предсказать вероятность эксплуатации в ближайшие 30 дней, а на практике нередко даёт низкую вероятность там, где атаки уже идут. KEV, каталог реально эксплуатируемых уязвимостей CISA, полезен, но запаздывает — флажок может появиться через недели или месяцы после первых атак.
Вывод получился без иллюзий: одной метрики мало. Нормальная схема — смотреть на CVSS как на стартовую оценку, сверяться с KEV, проверять наличие публичного эксплойта и использовать трендовые данные из своих систем. Иначе компания получает не приоритеты, а красивую таблицу.
Если нужна внятная рамка для разбора рисков, полезно держать рядом и разбор типовых ошибок в ИБ-процессах, и старый добрый скепсис к любым «универсальным» рейтингам.
Кого это затрагивает и к чему приводит
Под удар попадают не только крупные компании с тысячами серверов. Проблема касается любой организации, где безопасность живёт отдельно от эксплуатации, а приоритеты считаются вручную. Там уязвимость может месяцами блуждать между ИБ, инфраструктурой и владельцем системы, пока кто-то не решит, что «это потом».
Отдельная боль — Linux и открытый код. В разговоре прозвучало, что ядро Linux получает около 500 CVE в месяц, а весь остальной стек — ещё сотни. Часть этого потока объясняется процессами учёта, но сам факт не отменяет другого: критические дыры с готовыми эксплойтами продолжают появляться слишком часто.
Здесь же всплывает и экономика. В проектах с щедрыми bug bounty исследователи быстрее находят баги, а в большом числе важных компонентов вознаграждение слабое или его нет совсем. В итоге уязвимости либо не замечают, либо чинят с опозданием. Для атакующего это окно возможностей, для бизнеса — длинный хвост риска.
Что делать читателю прямо сейчас
Если вы отвечаете за ИБ, не превращайте сортировку уязвимостей в религию одной цифры. Сначала проверьте, как у вас устроен приоритет: есть ли у вас данные об эксплуатации, сверяете ли вы отчёты с реальными путями атаки, кто и когда подтверждает критичность.
Автопатчинг тоже работает только там, где есть правила. Автоматически закрывать всё подряд нельзя: нужны политики, список допустимых систем и понятные исключения. Иначе кнопка «ускорить» превращается в источник ночного инцидента.
Для повседневной защиты личных устройств и рабочих ноутбуков имеет смысл держать в голове и банальные вещи: шифрование трафика, контроль открытых сетей, внимательное отношение к публичному Wi‑Fi. Для этого подойдут и инструменты защиты трафика в поездках и кафе, если вы подключаетесь к сети вне дома или офиса.
Практический чек-лист
- Проверьте, чем вы реально пользуетесь для приоритизации: только CVSS или ещё KEV, EPSS и данные о публичных эксплойтах.
- Посмотрите, сколько уязвимостей у вас «зависает» между ИБ и эксплуатацией больше 30 дней.
- Уточните, какие системы можно патчить автоматически, а какие требуют ручного согласования.
- Сверьте уязвимости не только по хостам, но и по путям атаки до критичных активов.
- Переоцените отчёты, где есть только цифра без контекста: эксплуатация вживую важнее абстрактного балла.
- Если работаете из кафе, аэропорта или поезда, не подключайтесь к открытой сети без дополнительной защиты канала.
- Раз в месяц пересматривайте топ-10 уязвимостей не по шуму, а по риску для бизнеса.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.