¿Qué son las vulnerabilidades explotadas conocidas (KEV)?
Vulnerabilidades explotadas conocidas (KEV) son Se ha confirmado la explotación de vulnerabilidades incluidas en la lista CVE en entornos reales.La Agencia de Ciberseguridad e Infraestructura de Seguridad de Estados Unidos (CISA) mantiene el oficial Catálogo KEV y exige plazos de remediación a través de Directiva operativa vinculante 22-01. Muchas organizaciones privadas utilizan ahora esta lista para priorizar la aplicación de parches.
Aunque CVSS Las puntuaciones miden potencial. impacto, los KEV representan activo explotación. En otras palabras, convierten lo "quizás explotable" en "siendo explotado", lo que exige acuerdos de nivel de servicio (SLA) más rápidos y automatización. guardrails.
KEVs vs CVEs vs EPSS
Los equipos de seguridad suelen confundir estos términos relacionados. Comprender la diferencia es fundamental para una evaluación de riesgos precisa.
| Acrónimo | Fuente | Propósito |
|---|---|---|
| CVE | NVD | Identificador único para una vulnerabilidad divulgada. |
| CVSS | NVD / PRIMERO | Mide la severidad teórica (impacto + explotabilidad). |
| EPS | PRIMERO.org | Predice la probabilidad de explotación en un plazo de 30 días. |
| KEV | CISA | Confirma la explotación en el mundo real y establece plazos para los parches. |
En conjunto, estos sistemas forman una jerarquía de riesgo: CVSS muestra cuán grave podría ser, EPSS muestra cuán probable es y las Vulnerabilidades Explotadas Conocidas muestran lo que realmente está sucediendo.
Otras lecturas: Puntuación CVSS: Cómo funciona la puntuación CVSS y EPSS vs CVSS: ¿Cuál es la diferencia?
Por qué los KEV son importantes para los desarrolladores y CISOs
En primer lugar, los KEV destacan comportamiento del atacante en vivoEn segundo lugar, frecuentemente implican componentes de terceros, marcos de trabajo, contenedores o CI/CD dependencias que los equipos dan por seguras. En consecuencia, Una solución tardía puede abrir vías de movimiento lateral dentro de su infraestructura de compilación y entrega.
Ejemplos recientes:
- CVE-2024-1086 (Linux nf_tables): Añadido al catálogo KEV; explotado por grupos de ransomware a mediados de 2024.
- CVE-2023-4966 (CitrixBleed): Se confirmó la explotación a los pocos días de su divulgación; se forzaron ciclos de parches de emergencia en todo el mundo.
Para llevar: Los KEV no son amenazas potenciales, son activo Por lo tanto, trate cada vulnerabilidad explotada conocida como una vulnerabilidad explotada conocida. “arreglar ahora”a menos que un análisis de alcanzabilidad demuestre lo contrario.
Cómo rastrear y priorizar las vulnerabilidades explotadas conocidas
Para empezar, consulta la página oficial. CISCatálogo de vulnerabilidades explotadas conocidas y marque cualquier coincidencia en su escáner de seguridad. Luego, utilice esta información para decidir qué correcciones deben realizarse primero. Además, combine Vulnerabilidades explotadas conocidas con Puntuaciones EPSS para reducir el ruido y centrarse en las debilidades que realmente afectan a la ejecución del código.
Flujo de trabajo paso a paso:
- Sincronizar datos: Descarga las últimas actualizaciones desde CISCrea una lista cada día y combínala con tus otras fuentes de información sobre vulnerabilidades.
- Resultados de las etiquetas: Etiquete cada hallazgo como “Explotado Conocido” cuando el ID coincida con el CISUna lista.
- Comprobar accesibilidad: Comprueba si el código vulnerable se ejecuta realmente dentro de tu aplicación o compilación. pipeline.
- Evaluar la explotabilidad: Usa EPS para determinar qué otros temas podrían ser abordados próximamente.
- Plazos de solicitud:
- Vulnerabilidades expuestas a Internet: solucionar en 1-3 días.
- Problemas internos: solucionar en una semana.
- Código no utilizado: vigílelo y verifíquelo con frecuencia.
- Automatizar respuestas: El sistema bloquea las fusiones inseguras y abre las seguras. pull requestsy registra las excepciones para asegurarse de que los equipos no pasen nada por alto.
De la concienciación a la acción: Automatización de correcciones con Xygeni
En la práctica, manejar todo esto manualmente no es escalable. Por lo tanto, xygeni conecta las vulnerabilidades explotadas conocidas directamente con su CI/CD Flujos de trabajo que transforman las alertas en acciones reales y guiadas.
- Correlación inteligente: Se detectaron coincidencias con CVE contra el CISUna lista y resalta los problemas que requieren "solución inmediata" en el interior pull requests.
- Accesibilidad + Explotabilidad: Confirma si la ruta de código vulnerable se ejecuta y enlaza. EPS datos para precise priorización.
- Guardrails: Detiene fusiones o despliegues riesgosos cuando una vulnerabilidad explotada afecta archivos o servicios confidenciales.
- Auto-remediación: Abre solicitudes de extracción seguras, comprueba si existen posibles cambios que puedan causar errores y ejecuta pruebas antes de la fusión.
- Registros de auditoría: Mantiene registros claros de qué se reparó y cuándo, apoyando así los objetivos de seguridad interna.
En resumen, la inteligencia sobre amenazas muestra qué está siendo atacado, y Xygeni garantiza que se solucione de forma rápida, segura y automática.
Ejemplo de política de protección (YAML)
guardrail:
id: "kev-protection"
description: "Block merges if known exploited vulnerability detected"
conditions:
- match: vulnerability.kev == true
- match: reachability == "reachable"
actions:
- block: merge
- notify: ["slack:#security-alerts", "jira:SEC-OPS"]
- create_pr: true
sla:
critical: 72h
high: 7dEsta regla impone sin fusionar Para vulnerabilidades conocidas y explotadas, notifica a los canales relevantes y crea automáticamente una solicitud de extracción para la corrección, todo dentro de tu sistema. CI/CD guardrails.
Minicaso: Prevención del despliegue de un KEV
- Semana 1: Una nueva biblioteca de código abierto pasa SAST pero incluye CVE-2023-4966.
- Semana 2: La correlación KEV de Xygeni lo detecta en el último CISUna actualización.
- Semana 3: Guardrails Detener la fusión; la corrección automática propone una versión parcheada.
Resultado: El equipo evitó enviar un vulnerabilidad explotada conocida a la producción y restauración roja pipeline Flujo dentro del mismo sprint.
Sobre el Autor
Escrito por Fátima Said, Gerente de Marketing de Contenidos especializado en Seguridad de Aplicaciones en Seguridad Xygeni.
Fátima crea contenido sobre seguridad de aplicaciones (AppSec) fácil de usar para desarrolladores y basado en investigaciones. ASPMy DevSecOps. Traduce conceptos técnicos complejos en ideas claras y prácticas que conectan la innovación en ciberseguridad con el impacto en el negocio.
