Codeby

За 2024 год зарегистрировано уже около 29 000 новых CVE. Но далеко не все уязвимости реально используются в атаках, и установить патчи сразу на всё просто невозможно. Как понять, какие угрозы критичны, а какие могут подождать?

Для этого существуют методики приоритизации уязвимостей, которые помогают оценить их опасность и определить, на какие угрозы реагировать в первую очередь.

🔸 CVSS (Common Vulnerability Scoring System) – самая популярная система оценки (от 0 до 10), но в открытом доступе обычно публикуют только базовые метрики, а реальный риск нужно рассчитывать отдельно.

🔸 EPSS (Exploit Prediction Scoring System) – предсказывает вероятность эксплуатации уязвимости в течение ближайших 30 дней, но не учитывает специфические контекстные факторы.

🔸 SSVC (Stakeholder-Specific Vulnerability Categorization) – вместо оценки опасности говорит КАК организация должна реагировать на уязвимость: немедленно исправлять, мониторить или просто отслеживать.

🔸 VISS (Vulnerability Impact Scoring System) – система от Zoom с 100-балльной шкалой, учитывающая влияние уязвимости на платформу, данные и инфраструктуру.

🔸 SSPP (Stakeholder-Specific Patching Prioritization) – методика для управления патчами: анализирует, были ли атаки, есть ли эксплойты и насколько уязвимо ПО в конкретной среде.

💡 Вывод: не существует идеальной системы, но можно комбинировать подходы. Например, CVSS + EPSS позволяет учитывать как технические параметры, так и реальный риск эксплуатации уязвимости.

Какой метод используете вы? Делитесь в комментариях!

➡️Читать статью полностью

Please open Telegram to view this post

VIEW IN TELEGRAM

👍17❤7🔥7

www.tgoop.com/codeby_sec/8774

5.08K viewsedited  Feb 20 at 15:43

За 2024 год зарегистрировано уже около 29 000 новых CVE. Но далеко не все уязвимости реально используются в атаках, и установить патчи сразу на всё просто невозможно. Как понять, какие угрозы критичны, а какие могут подождать?

Для этого существуют методики приоритизации уязвимостей, которые помогают оценить их опасность и определить, на какие угрозы реагировать в первую очередь.

🔸 CVSS (Common Vulnerability Scoring System) – самая популярная система оценки (от 0 до 10), но в открытом доступе обычно публикуют только базовые метрики, а реальный риск нужно рассчитывать отдельно.

🔸 EPSS (Exploit Prediction Scoring System) – предсказывает вероятность эксплуатации уязвимости в течение ближайших 30 дней, но не учитывает специфические контекстные факторы.

🔸 SSVC (Stakeholder-Specific Vulnerability Categorization) – вместо оценки опасности говорит КАК организация должна реагировать на уязвимость: немедленно исправлять, мониторить или просто отслеживать.

🔸 VISS (Vulnerability Impact Scoring System) – система от Zoom с 100-балльной шкалой, учитывающая влияние уязвимости на платформу, данные и инфраструктуру.

🔸 SSPP (Stakeholder-Specific Patching Prioritization) – методика для управления патчами: анализирует, были ли атаки, есть ли эксплойты и насколько уязвимо ПО в конкретной среде.

💡 Вывод: не существует идеальной системы, но можно комбинировать подходы. Например, CVSS + EPSS позволяет учитывать как технические параметры, так и реальный риск эксплуатации уязвимости.

Какой метод используете вы? Делитесь в комментариях!

➡️Читать статью полностью