⚖️Эта неделя прошла под флагом приоритизации

Anthropic сказал, что "благодаря" ИИ уязвимостей находиться (и создаваться тоже ) будет кратно больше, поэтому посоветовал обзавестись ресурсами, автоматизацией и заняться приоритизацией.

NIST решил, что проблему с бэклогом по обогащению записей в базе NVD надо решать и... просто 90% долга перенес "в корзину"
Да, с 15 апреля NIST ввел новый порядок обогащения записей об уязвимостях в NVD. Обогащаться будут:
Уязвимости из каталога CISA KEV
Уязвимости в ПО, используемом в федеральных органах власти США
Уязвимости в критически важном ПО в соответствии с указом EO 14028
Всё остальное будет недостойно внимания NIST, хотя есть опция попросить лично за конкретную уязвимость

Seemplicity выпустила неплохое исследование на тему управления экспозициями (угроз и уязвимостей), где не обошли стороной вопрос приоритизации устранения угроз. В топе следующие критерии (в порядке убывания):
Бизнес-критичность активов
Методики оценки критичности (например, по CVSS)
Данные о киберугрозах (Threat Intelligence)
Вероятность эксплуатации (например, по EPSS)
Комплаинс-требования
Запросы руководства или стейкхолдеров
Инженерные ресурсы (на устранение)
А еще подсветили, что если у вас в организации не выстроены базовые процессы по управлению активами (например, не определены владельцы и админы активов) и есть проблема с софт-скиллами, то автоматизация вам не поможет🤷

А в субботу я провёл вебинар на тему подходов и инструментов приоритизации устранения уязвимостей в рамках очередного потока курса "Vulnerability Management" учебного центра Inseca, где поделился личным опытом по этой теме.

#nist #vm #cve #prioritization #kev #vulnerability #ai