Добавить в корзинуПозвонить
Найти в Дзене
The Codeby
5121 подписчик

❗️29 месяцев — столько в среднем живёт незакрытая уязвимость в организации

3
2 мин
По данным IBM X-Force 2025, между публикацией CVE и её устранением проходит два с половиной года. А теперь сравните: окно между появлением рабочего PoC на GitHub и первой атакой — часы, иногда дни. Чувствуете разрыв? Именно поэтому классическая сортировка по CVSS больше не работает. Возьмём CVE-2022-21882 — Win32k Elevation of Privilege. CVSS всего 7.0, локальный вектор, высокая сложность. По всем признакам — середина очереди, далеко не приоритет. Но EPSS этой уязвимости — 0.89, top 1% среди всех CVE в базе. Она в каталоге CISA KEV с 2022 года и активно используется для повышения привилегий после первичного доступа. Пока SOC закрывает «критические» 9.8, которые никто не эксплуатирует, атакующий уже внутри через эту «семёрку». 🎇Каталог CISA KEV — это бинарный сигнал: уязвимость либо эксплуатируется в реальных атаках, либо нет. К декабрю 2025 года в нём 1 484 записи, из которых 20,5% напрямую связаны с ransomware. В 2025-м добавили 245 новых CVE — на 20–30% больше среднего. А новая ди

❗️29 месяцев — столько в среднем живёт незакрытая уязвимость в организации

По данным IBM X-Force 2025, между публикацией CVE и её устранением проходит два с половиной года. А теперь сравните: окно между появлением рабочего PoC на GitHub и первой атакой — часы, иногда дни. Чувствуете разрыв?

Именно поэтому классическая сортировка по CVSS больше не работает. Возьмём CVE-2022-21882 — Win32k Elevation of Privilege. CVSS всего 7.0, локальный вектор, высокая сложность. По всем признакам — середина очереди, далеко не приоритет. Но EPSS этой уязвимости — 0.89, top 1% среди всех CVE в базе. Она в каталоге CISA KEV с 2022 года и активно используется для повышения привилегий после первичного доступа. Пока SOC закрывает «критические» 9.8, которые никто не эксплуатирует, атакующий уже внутри через эту «семёрку».

🎇Каталог CISA KEV — это бинарный сигнал: уязвимость либо эксплуатируется в реальных атаках, либо нет. К декабрю 2025 года в нём 1 484 записи, из которых 20,5% напрямую связаны с ransomware. В 2025-м добавили 245 новых CVE — на 20–30% больше среднего. А новая директива BOD 26-04 ужесточила требования: если уязвимость internet-facing, автоматизируемая и даёт полный контроль — due date может составлять один день.

Свежий пример: CVE-2025-5777 (CitrixBleed 2) попала в KEV 10 июля 2025 года. CVSS 9.3, EPSS 0.71 (top 5%), связь с ransomware, пять рабочих PoC на GitHub, готовый шаблон в nuclei-templates. Срок на патч для федеральных агентств — сутки.

➡️Как выглядит рабочий конвейер приоритизации на практике:

• Мониторинг KEV-каталога через cron каждые 4 часа + параллельный запрос EPSS через API FIRST

• Обогащение контекстом: наличие PoC на GitHub, шаблоны nuclei, данные inthewild.io об активной эксплуатации

• Оценка по SSVC: Exploitation active + Automatable yes + Technical Impact total = решение Act (патчить немедленно)

• Финальное решение: патчим сегодня в 22:00 или ждём плановое окно — на основе данных, а не интуиции

Весь проход по одной CVE занимает 15–20 минут и даёт обоснование, которое можно показать руководству. По данным исследователей EPSS, фокус на 3% уязвимостей с наивысшим скорингом перехватывает ~80% реально эксплуатируемых CVE — при сокращении объёма работ в 30–40 раз.

В статье — полный воркфлоу с командами, скриптами и разбором реальных кейсов. Забирайте в закладки.

https://codeby.net/threads/prioritizatsiya-patchei-cisa-kev-osint-konveier-dlya-blue-team-ot-alerta-do-resheniya.94104/

Гаджеты и электроника
5,73 млн интересуются