Найти в Дзене
Академия Безопасности Батранкова
259 подписчиков

📌 KEV — список уязвимостей, через которые вас ломают прямо сейчас

1 мин
В мире ИБ есть тысячи CVE. Есть красивые цифры CVSS. Есть вероятности EPSS. А есть KEV. Сегодня расскажу про него. Known Exploited Vulnerabilities (KEV) — это официальный каталог, который ведет американский регулятор в сфере киберзащиты CISA. В нем собраны уязвимости, которые не "теоретически опасны", а уже точно использовались в реальных атаках. То есть для них эксплойт существует + атаки уже были зафиксированы + кто-то уже ломает системы через неё прямо сейчас. Сделали это потому, что ИБ команды тонули в тысячах CVE и бесконечно спорили про приоритеты. KEV эту дискуссию закрывает: если CVE там есть — патчишь первым. Федеральные агентства США обязаны закрывать KEV-уязвимости в кратчайшие сроки. В США действует директива BOD 22-01. По ней все госстуктуры обязаны: → устранять KEV уязвимости за 15 дней (если доступна извне) → за 25 дней (если внутренняя) Почему в России нет аналога? KEV строится на постоянном обмене данными об инцидентах между госструктурами, вендорами и коммерческ

📌 KEV — список уязвимостей, через которые вас ломают прямо сейчас

В мире ИБ есть тысячи CVE. Есть красивые цифры CVSS. Есть вероятности EPSS.

А есть KEV. Сегодня расскажу про него.

Known Exploited Vulnerabilities (KEV) — это официальный каталог, который ведет американский регулятор в сфере киберзащиты CISA. В нем собраны уязвимости, которые не "теоретически опасны", а уже точно использовались в реальных атаках. То есть для них эксплойт существует + атаки уже были зафиксированы + кто-то уже ломает системы через неё прямо сейчас.

Сделали это потому, что ИБ команды тонули в тысячах CVE и бесконечно спорили про приоритеты. KEV эту дискуссию закрывает: если CVE там есть — патчишь первым. Федеральные агентства США обязаны закрывать KEV-уязвимости в кратчайшие сроки.

В США действует директива BOD 22-01. По ней все госстуктуры обязаны:

→ устранять KEV уязвимости за 15 дней (если доступна извне)

→ за 25 дней (если внутренняя)

Почему в России нет аналога?

KEV строится на постоянном обмене данными об инцидентах между госструктурами, вендорами и коммерческими TI-компаниями. В России аналогичной экосистемы пока нет в таком виде. БДУ ФСТЭК технически является аналогом баз CVE и NVD — то есть это общий реестр уязвимостей, а не список с подтверждённой эксплуатацией. В Китае параллельно работают две государственные базы уязвимостей, CNNVD и CNVD.

Что есть, в дополнение к БДУ ФСТЭК:

🔹 ГосСОПКА / НКЦКИ — центр реагирования, публикует бюллетени об актуальных угрозах

🔹 Банк России (ФинЦЕРТ) — для финансового сектора

🔹 F6 (бывший GROUP-IB), Solar JSOC/4RAYS, PT ESC, Kaspersky TI/GReAT — коммерческие организации, у которых есть команда TI с данными по реальным атакам на компании

А вот единого публичного аналога KEV с подтверждённой эксплуатацией — у нас в России нет. Сейчас в KEV 1526 уязвимостей. Рекомендую туда посматривать.

Напишите, если нужно про что-то рассказать подробнее..

Ссылки на ресурсы:

БДУ ФСТЭК | ГосСОПКА | НКЦКИ |ФинЦЕРТ

#Уязвимости #CVSS #CVE #KEV @acba