O que são vulnerabilidades exploradas conhecidas (KEVs)?
Vulnerabilidades exploradas conhecidas (KEVs) estão localizadas Vulnerabilidades listadas no CVE foram confirmadas como sendo exploradas em ataques reais.A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) mantém o oficial Catálogo KEV e impõe prazos de remediação até Diretiva Operacional Vinculante 22-01. Muitas organizações privadas agora usam essa lista para priorizar a aplicação de patches.
Apesar CVSS medida de pontuação potencial impacto, KEVs representam ativo exploração. Em outras palavras, transformam o "talvez explorável" em "sendo explorado", exigindo SLAs mais rápidos e automatizados. guardrails.
KEVs vs CVEs vs EPSS
As equipes de segurança frequentemente confundem esses termos relacionados. Compreender a diferença entre eles é crucial para uma avaliação de risco precisa.
| Acrônimo | fonte | Propósito |
|---|---|---|
| CVE | NVD | Identificador único para uma vulnerabilidade divulgada. |
| CVSS | NVD / PRIMEIRO | Mede a gravidade teórica (impacto + explorabilidade). |
| EPSS | PRIMEIRO.org | Prevê a probabilidade de exploração em 30 dias. |
| Kev | CISA | Confirma a exploração no mundo real e define prazos para correções. |
Em conjunto, esses sistemas formam uma hierarquia de risco: o CVSS mostra a gravidade potencial, o EPSS mostra a probabilidade de ocorrência e as Vulnerabilidades Exploradas Conhecidas mostram o que está realmente acontecendo.
Leitura adicional: Pontuação CVSS: Como funciona a pontuação CVSS e EPSS vs CVSS: Qual é a diferença?
Por que os KEVs são importantes para desenvolvedores e CISOs
Em primeiro lugar, os KEVs destacam comportamento do atacante ao vivoEm segundo lugar, eles frequentemente envolvem componentes de terceiros, estruturas, contêineres ou CI/CD dependências que as equipes presumem serem seguras. Consequentemente, Uma correção tardia pode abrir caminhos de movimentação lateral dentro da sua infraestrutura de compilação e entrega.
Exemplos recentes:
- CVE-2024-1086 (Linux nf_tables): Adicionado ao Catálogo KEV; explorado por grupos de ransomware em meados de 2024.
- CVE-2023-4966 (CitrixBleed): Exploração confirmada poucos dias após a divulgação; ciclos de remendos de emergência forçados em todo o mundo.
Leve em conta: Os KEVs não são ameaças potenciais, eles são ativo Portanto, trate todas as Vulnerabilidades Exploradas Conhecidas como “conserto imediato”, a menos que a análise de alcançabilidade prove o contrário.
Como rastrear e priorizar vulnerabilidades exploradas conhecidas
Para começar, consulte o oficial CISCatálogo de Vulnerabilidades Exploradas Conhecidas e marque todas as correspondências em seu scanner de segurança. Em seguida, use essas informações para decidir quais correções precisam ser feitas primeiro. Além disso, combine Vulnerabilidades exploradas conhecidas com as Pontuações EPSS Para eliminar o ruído e focar nas fraquezas que realmente afetam o código em execução.
Fluxo de trabalho passo a passo:
- Dados de sincronização: Obtenha as atualizações mais recentes do CISFaça uma lista por dia e combine-a com seus outros feeds de vulnerabilidades.
- Resultados da tag: Classifique cada descoberta como “Explorada” quando o ID corresponder ao CISUma lista.
- Verificar disponibilidade: Verifique se o código vulnerável realmente é executado dentro do seu aplicativo ou build. pipeline.
- Avaliar a explorabilidade: Uso EPSS para descobrir quais outros problemas poderão ser abordados em breve.
- Prazos de inscrição:
- Vulnerabilidades expostas na internet: correção em 1 a 3 dias.
- Problemas internos: resolver em uma semana.
- Código não utilizado: fique de olho e verifique com frequência.
- Automatizar respostas: O sistema bloqueia fusões inseguras e abre fusões seguras. pull requestse registra exceções para garantir que as equipes não percam nada.
Da Conscientização à Ação: Automatizando Correções com o Xygeni
Na prática, lidar com tudo isso manualmente não é escalável. Portanto, Xygeni Conecta as Vulnerabilidades Exploradas Conhecidas diretamente ao seu CI/CD Fluxos de trabalho, transformando alertas em ações reais e guiadas.
- Correlação inteligente: Correspondências detectadas CVEs contra o CISUma lista e destaques dos problemas que precisam ser corrigidos imediatamente. pull requests.
- Acessibilidade + Explorabilidade: Confirma se o caminho de código vulnerável é executado e cria links. EPSS dados para précise priorização.
- Guardrails: Impede fusões ou implantações arriscadas quando uma falha explorada afeta arquivos ou serviços sensíveis.
- Auto-Remediação: Abre PRs seguros, verifica possíveis alterações que quebrem a compatibilidade e executa testes antes de mesclar.
- Registros de auditoria: Mantém registros claros do que foi consertado e quando, apoiando os objetivos de segurança interna.
Resumindo, a inteligência de ameaças mostra o que está sendo atacado, e a Xygeni garante que o problema seja resolvido de forma rápida, segura e automática.
Exemplo de Política de Proteção (YAML)
guardrail:
id: "kev-protection"
description: "Block merges if known exploited vulnerability detected"
conditions:
- match: vulnerability.kev == true
- match: reachability == "reachable"
actions:
- block: merge
- notify: ["slack:#security-alerts", "jira:SEC-OPS"]
- create_pr: true
sla:
critical: 72h
high: 7dEsta regra impõe sem mesclagem Para vulnerabilidades exploradas conhecidas ativas, notifica os canais relevantes e cria automaticamente um PR de correção, tudo dentro do seu ambiente. CI/CD guardrails.
Mini Case: Prevenindo a Implantação de KEV
- Semana 1: Uma nova biblioteca de código aberto passa SAST mas inclui CVE-2023-4966.
- Semana 2: A correlação KEV da Xygeni detecta isso na versão mais recente. CISUma atualização.
- Semana 3: Guardrails Interrompa a mesclagem; a correção automática propõe uma versão corrigida.
Resultado: A equipe evitou enviar um vulnerabilidade explorada conhecida para produção e restauração vermelha pipeline fluxo dentro do mesmo sprint.
Sobre o autor
Escrito por Fátima SaidGerente de Marketing de Conteúdo especializada em Segurança de Aplicativos na Xygeni Segurança.
Fátima cria conteúdo sobre segurança de aplicativos (AppSec) acessível a desenvolvedores e baseado em pesquisas. ASPMe DevSecOps. Ela traduz conceitos técnicos complexos em insights claros e acionáveis que conectam a inovação em cibersegurança com o impacto nos negócios.
