CVSS полезен как общий язык тяжести, но он не отвечает на главный вопрос бизнеса: “что вероятнее всего сломают у нас на этой неделе?”. Поэтому mature patch management начинается с Known Exploited Vulnerabilities, проверяет internet exposure и только потом сортирует остальные уязвимости по технической тяжести.
KEVэксплуатация уже наблюдалась
EXPOSUREдоступно из интернета
ASSETважно для денег и данных
Практическая формула приоритета
- Есть активная эксплуатация или KEV - emergency lane.
- Сервис доступен из интернета или из пользовательского сегмента - повышаем приоритет.
- Актив хранит логи, секреты, платежи, identity или CI/CD - повышаем приоритет.
- Есть MFA, allowlist, WAF, segmentation, read-only режим - учитываем как снижение риска, но не как замену патча.
- После исправления нужен retest, иначе ticket закрыт только формально.
Что добавить в отчёты SecMon
Каждый finding должен показывать не только severity, но и “почему сейчас”: наличие эксплуатации в дикой среде, доступность актива, бизнес-роль, evidence, владелец исправления и критерий ретеста. Такой формат удобен и CTO, и инженеру: понятно, почему задача в спринте выше соседней.
Источники для мониторинга: CISA KEV Catalog, Microsoft Security Update Guide, vendor advisories.