Что такое известные эксплуатируемые уязвимости (KEV)?
Известные эксплуатируемые уязвимости (KEV) Подтверждено, что уязвимости, перечисленные в CVE, эксплуатируются в реальных условиях. Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) поддерживает официальный Каталог КЭВ и устанавливает сроки устранения неполадок через Обязательная Операционная Директива 22-01. Многие частные организации теперь используют этот список для определения приоритетности исправления ошибок.
Несмотря на то, что CVSS оценка мера потенциал воздействие, КЭМ представляют активный Эксплуатация. Другими словами, они превращают «возможно эксплуатируемое» в «эксплуатируемое», требуя более быстрых соглашений об уровне обслуживания и автоматизированных guardrails.
KEV против CVE против EPSS
Специалисты по безопасности часто путают эти родственные термины. Понимание разницы крайне важно для точного определения риска.
| Акроним | Источник | Цель |
|---|---|---|
| CVE | NVD | Уникальный идентификатор раскрытой уязвимости. |
| CVSS | ПНВ / ПЕРВЫЙ | Измеряет теоретическую серьезность (воздействие + возможность эксплуатации). |
| ЭПСС | ПЕРВЫЙ.org | Прогнозирует вероятность эксплуатации в течение 30 дней. |
| КЭВ | CISA | Подтверждает факт реальной эксплуатации уязвимости и устанавливает сроки выпуска исправлений. |
Вместе эти системы образуют иерархию риска: CVSS показывает, насколько серьезным может быть риск, EPSS показывает, насколько он вероятен, а известные эксплуатируемые уязвимости показывают, что на самом деле происходит.
Дополнительная литература: Оценка CVSS: как работает оценка CVSS и EPSS и CVSS: в чем разница?
Почему KEV важны для разработчиков и CISOs
Во-первых, КЭВ выделяют поведение живого нападающегоВо-вторых, они часто связаны сторонние компоненты, фреймворки, контейнеры или CI/CD зависимости, которые команды считают безопасными. Следовательно,, задержка в исправлении может открыть пути для горизонтальных перемещений внутри вашей инфраструктуры сборки и доставки.
Недавние примеры:
- CVE-2024-1086 (Linux nf_tables): добавлен в каталог KEV; эксплуатировался группами вирусов-вымогателей в середине 2024 года.
- CVE-2023-4966 (CitrixBleed): подтвержденная эксплуатация в течение нескольких дней после раскрытия информации; принудительные циклы экстренного исправления ошибок по всему миру.
Еда на вынос: КЭВ не являются потенциальной угрозой, они активный Поэтому относитесь к каждой известной эксплуатируемой уязвимости как к «исправить сейчас», если анализ достижимости не доказывает обратное.
Как отслеживать и приоритизировать известные эксплуатируемые уязвимости
Для начала проверьте официальный CISКаталог известных эксплуатируемых уязвимостей и отметьте все совпадения в вашем сканере безопасности. Затем используйте эту информацию, чтобы решить, какие исправления необходимо выполнить в первую очередь. Кроме того, объедините Известные эксплуатируемые уязвимости с EPSS-оценки чтобы убрать шум и сосредоточиться на слабых местах, которые действительно влияют на работу вашего кода.
Пошаговый процесс работы:
- Данные синхронизации: Получите последние обновления из CISСоставляйте список каждый день и объединяйте его с другими каналами уязвимостей.
- Результаты тегов: Пометьте каждую находку как «Известно эксплуатируемую», если идентификатор совпадает с CISСписок.
- Проверить достижимость: Проверьте, выполняется ли уязвимый код внутри вашего приложения или сборки. pipeline.
- Оценить возможность эксплуатации: Используйте ЭПСС чтобы определить, какие еще проблемы вскоре могут стать объектом внимания.
- Сроки подачи заявок:
- Уязвимости, связанные с доступом в Интернет: устранение в течение 1–3 дней.
- Внутренние: исправить в течение недели.
- Код не используется: следите за ним и регулярно проверяйте.
- Автоматизировать ответы: Система блокирует небезопасные слияния, открывает безопасные pull requestsи записывает исключения, чтобы команды ничего не упустили.
От осознания к действию: автоматизация исправлений с помощью Xygeni
На практике, обработка всего этого вручную не масштабируется. Поэтому, Ксигени подключает известные эксплуатируемые уязвимости непосредственно к вашему CI/CD рабочие процессы, превращающие оповещения в реальные управляемые действия.
- Умная корреляция: Соответствует обнаруженным CVE CISСписок и выделение проблем, требующих немедленного исправления, внутри pull requests.
- Достижимость + Эксплуатируемость: Подтверждает, выполняется ли уязвимый путь кода и ссылки ЭПСС данные для предварительногоcisэлектронная расстановка приоритетов.
- Guardrails: Останавливает рискованные слияния или развертывания, когда эксплуатируемая уязвимость затрагивает конфиденциальные файлы или службы.
- Автоматическое исправление: Открывает защищенные PR, проверяет возможные критические изменения и запускает тесты перед слиянием.
- Журналы аудита: Ведет четкие записи о том, что и когда было исправлено, поддерживая внутренние цели безопасности.
Короче говоря, анализ угроз показывает, что именно подвергается атаке, а Xygeni обеспечивает быстрое, безопасное и автоматическое устранение проблемы.
Пример политики ограждения (YAML)
guardrail:
id: "kev-protection"
description: "Block merges if known exploited vulnerability detected"
conditions:
- match: vulnerability.kev == true
- match: reachability == "reachable"
actions:
- block: merge
- notify: ["slack:#security-alerts", "jira:SEC-OPS"]
- create_pr: true
sla:
critical: 72h
high: 7dЭто правило обеспечивает соблюдение нет слияния для активных известных эксплуатируемых уязвимостей, уведомляет соответствующие каналы и автоматически создает исправление PR, все в пределах вашей досягаемости CI/CD guardrails.
Мини-кейс: предотвращение развертывания KEV
- Неделя 1: Новая библиотека с открытым исходным кодом проходит SAST но включает CVE-2023-4966.
- Неделя 2: Корреляция KEV от Xygeni обнаруживает это в последних CISОбновление.
- Неделя 3: Guardrails остановить слияние; Auto-Remediation предложит исправленную версию.
Результат: Команда избежала отправки известная эксплуатируемая уязвимость в производство и реставрировать pipeline поток в рамках одного спринта.
Об авторе
Написано Фатима Said, менеджер по контент-маркетингу, специализирующийся на безопасности приложений в Ксигени Секьюрити.
Фатима создает удобный для разработчиков контент на основе исследований по AppSec, ASPMи DevSecOps. Она преобразует сложные технические концепции в понятные и применимые на практике идеи, связывающие инновации в области кибербезопасности с влиянием на бизнес.
