По данным IBM X-Force Threat Intelligence Index 2025, среднее время между публикацией CVE и её устранением в исследованной выборке - 29 месяцев. Два с половиной года уязвимость живёт в инфраструктуре после того, как атакующие уже нашли её в публичных базах (Scan Databases, T1596.005, Reconnaissance) и получили готовые эксплойты (Exploits, T1588.005, Resource Development). Сканер выдаёт 4 000 результатов, патч-окно - 20 часов в месяц. Задача не в том, чтобы патчить всё подряд. Задача - каждую неделю определять правильные 20 CVE из этих 4 000. Ниже - пошаговое руководство по сборке конвейера OSINT-мониторинга уязвимостей для Blue Team из бесплатных источников: от CISA KEV до EPSS и SSVC.
Почему CVSS недостаточно для приоритизации патчинга по риску
CVSS долго был единственным языком общения vulnerability management с бизнесом и ИТ. Уязвимость с CVSS 9.8 - критическая, патчить немедленно. CVSS 4.0 - можно подождать. На практике эта логика разваливается.CVSS оценивает техническую severity на момент раскрытия и почти никогда не пересчитывается. Он не учитывает вероятность реальной эксплуатации: CVE с оценкой 9.8 может не иметь публичного эксплойта вообще, а CVE с оценкой 6.5, под которую написан рабочий PoC, эксплуатируется уже третий месяц. CVSS не знает вашу инфраструктуру - критическая уязвимость в Apache Struts бессмысленна, если Struts не развёрнут ни на одном активе. Но сканер покажет её в отчёте, если найдёт в зависимостях.
Масштаб нарастает. NVD обогащает десятки тысяч CVE в год - и этого не хватает, чтобы покрыть входящий поток. NIST объявил о переходе к выборочному обогащению: приоритет получают CVE из KEV CISA, софт федеральных агентств и ПО, подпадающее под определение «критического» из Executive Order 14028. Остальные CVE могут оставаться без обогащения неопределённо долго. По сути, NVD перестаёт быть «универсальным слоем трансляции» между раскрытием уязвимости и операционным реагированием.
Вывод для команды: ждать финального score от NVD перед принятием решений больше нельзя. Нужен собственный конвейер, который работает быстрее NVD и учитывает контекст среды.
Сравнение методов vulnerability prioritization
| Метод | Что даёт | Ограничения | Когда применять |
|---|---|---|---|
| CVSS | Стандартизированная оценка severity | Статичен, не отражает эксплуатацию in-the-wild | Базовый фильтр: отсечь информационные (< 4.0) |
| CISA KEV | Факт подтверждённой эксплуатации | Более 1300 записей (на начало 2025), запаздывание в несколько дней | Must-patch: всё из каталога закрывается безусловно |
| EPSS scoring | Вероятность эксплуатации в ближайшие 30 дней | Вероятностная модель, не учитывает ваш контекст | Приоритизация CVE вне KEV: отобрать топ из массы |
| SSVC | Контекстное решение с учётом актива и бизнеса | Требует зрелого asset management и ресурсов | Финальное решение по каждой CVE |
CISA KEV каталог уязвимостей: точка отсчёта конвейера
KEV (Known Exploited Vulnerabilities) - каталог CISA с уязвимостями, подтверждённо эксплуатируемыми в реальных атаках. В отличие от NVD, KEV - не база всех известных CVE, а список тех, что уже использованы атакующими для Exploit Public-Facing Application (T1190, Initial Access) и аналогичных векторов. Каждая запись содержит: CVE-идентификатор, вендор, продукт, описание, дату добавления и дату обязательного устранения (dueDate) для федеральных агентств.Для Blue Team KEV работает как бинарный сигнал: CVE есть в каталоге - её эксплуатируют прямо сейчас, и она попадает в верх бэклога безотносительно CVSS. Каталог доступен через публичный API без регистрации и ключей - чистый OSINT для информационной безопасности.
BOD 22-01: обязательное устранение уязвимостей из KEV
В ноябре 2021 года CISA опубликовала Binding Operational Directive 22-01, обязывающую федеральные агентства устранять уязвимости из каталога KEV в сроки, установленные CISA для каждой записи (поле dueDate). Директива формализовала риск-ориентированный подход: приоритизация строится не на CVSS, а на факте подтверждённой эксплуатации in-the-wild.Ключевой сдвиг: критерием немедленного реагирования становится наличие CVE в KEV, а не числовой CVSS-score. Публичная доступность актива, возможность автоматизации эксплуатации и критичность системы для миссии - дополнительные факторы, которые CISA рекомендует учитывать при определении приоритетов. Эту логику мы и закладываем в конвейер.
Открытые источники мониторинга CVE для Blue Team threat intelligence
Прежде чем собирать конвейер - карта доступных источников. Все бесплатные.CISA KEV - подтверждённая эксплуатация. Бинарный сигнал. Обновляется несколько раз в неделю. Эндпоинт:
https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json.NVD NIST - база уязвимостей с обогащением: CVSS-score, CWE, CPE (affected products), ссылки. С учётом новой политики NIST обогащение становится выборочным - для CVE вне приоритетных категорий данные могут запаздывать или отсутствовать. API:
https://services.nvd.nist.gov/rest/json/cves/2.0. API-ключ бесплатный, повышает лимит с 5 запросов за 30 секунд до 50.EPSS - модель FIRST.org, оценивающая вероятность эксплуатации CVE в ближайшие 30 дней. В отличие от CVSS, score обновляется ежедневно. API:
https://api.first.org/data/v1/epss.OSV (Open Source Vulnerabilities) - база Google для уязвимостей в open-source пакетах. Покрывает PyPI, npm, Go, Maven, RubyGems. API:
https://api.osv.dev/v1/query.Vendor advisories и CNA-источники - прямые advisory от вендоров и CNA становятся первичными операционными источниками. CVE.org, GitHub Security Advisories, Red Hat Security Advisories - всё OSINT.
MITRE ATT&CK - маппинг уязвимостей на тактики атакующих. CVE, маппящаяся на Exploit Public-Facing Application (T1190, Initial Access), приоритетнее уязвимости, требующей локального доступа и повышения привилегий (Exploitation for Privilege Escalation, T1068).
Конвейер управления уязвимостями: пошаговая сборка
Результат: для каждой CVE из KEV - вероятность эксплуатации в ближайшие 30 дней и percentile относительно всех CVE. Комбинация KEV=true + EPSS > 0.7 - абсолютный приоритет.
Риск-ориентированный патчинг: привязка к активам и SSVC
Конвейер без привязки к активам - академическое упражнение. Нужен инвентарь: какие продукты и версии развёрнуты. В терминах NIST CSF v2.0 это ID.AM-01 - инвентаризация аппаратных и программных активов. Источники инвентаря: CMDB (ServiceNow, GLPI, NetBox) через API, результаты сканирования (Nessus, OpenVAS), данные Software Discovery (T1518, Discovery). Сопоставление - по CPE из NVD или по паре vendor+product из KEV.Для финальной приоритизации применяется SSVC - модель, рекомендованная CISA. Решение принимается по дереву:
- Exploitation - есть активная эксплуатация? KEV = да; EPSS > 0.5 = вероятно
- Automatable - атакующий может автоматизировать эксплуатацию? Публичный PoC, weaponized exploit
- Technical Impact - полный контроль (RCE) или частичный (information disclosure)?
- Mission Prevalence - насколько затронутый актив критичен для бизнес-процессов?
- Act - немедленное устранение (в рамках сроков BOD 22-01). Пример: CVE в KEV, EPSS > 0.7, на публично доступном веб-сервере с бизнес-данными
- Attend - устранение в ближайшем цикле (14 дней). Пример: CVE с высоким EPSS, но на внутреннем сервере за VPN
- Track - мониторинг, устранение по расписанию (60 дней). Пример: та же CVE на изолированном тестовом стенде
Автоматизация и интеграция конвейера патч-менеджмента
Скрипт, который запускается вручную раз в месяц, - не конвейер. Конвейер - процесс с расписанием, уведомлениями и обратной связью.Расписание.
cron на Linux или Task Scheduler на Windows. KEV обновляется несколько раз в неделю, EPSS - ежедневно. Разумная частота - раз в сутки, утром до начала рабочего дня. Я обычно ставлю на 06:00 - к приходу команды дайджест уже в канале.Хранилище. Результаты каждого прогона сохраняются. Минимально - JSON-файлы с метками времени. Для команд побольше - Elasticsearch или PostgreSQL. Это позволяет отслеживать динамику: новые CVE в KEV, изменение EPSS-score, просроченные SLA.
Уведомления. При появлении CVE с решением Act - немедленный алерт в Telegram, Slack или MS Teams. Для Attend - ежедневный дайджест. Для Track - еженедельный отчёт. Интеграция через webhook занимает час.
Тикет-система. Каждая CVE с решением Act или Attend автоматически создаёт тикет в Jira, YouTrack или GLPI: CVE-ID, затронутый актив, EPSS-score, SLA из KEV dueDate. Ответственный назначается по владельцу актива из CMDB.
Ограничения подхода. Конвейер на бесплатных API не заменяет коммерческий vulnerability management (Tenable, Qualys, Rapid7). Он закрывает слепую зону: скорость реакции на новые CVE в KEV, приоритизация по EPSS вместо CVSS, прозрачность решений. Для инфраструктуры с 10 000+ CVE в результатах сканирования потребуется локальное кеширование NVD и EPSS-данных - ежедневный полный dump EPSS весит несколько десятков МБ (актуальный размер - на api.first.org).
Чеклист: конвейер OSINT-мониторинга уязвимостей
Готовый список действий - можно передать коллеге или включить в отчёт.- Настроить ежедневный опрос CISA KEV API, сохранять дельту (новые записи) в локальное хранилище
- Подключить EPSS API (FIRST.org), обогащать каждую CVE из KEV и из результатов сканирования
- Получить бесплатный API-ключ NVD для повышения лимита запросов до 50/30 сек
- Экспортировать инвентарь активов из CMDB или сканера, привязать к CPE или vendor+product
- Реализовать матчинг: для каждого актива определить применимые CVE из KEV и топ EPSS
- Применить SSVC-дерево: по каждой CVE определить решение - Act, Attend, Track
- Настроить алерты: Act - немедленное уведомление, Attend - ежедневный дайджест
- Интегрировать с тикет-системой: Act/Attend - автоматический тикет с SLA
- Добавить OSV API для покрытия open-source зависимостей (если применимо)
- Настроить еженедельный отчёт: открытые CVE по категориям, динамика за неделю, просроченные SLA
Команды, которые пытаются закрыть каждую CVE с CVSS >= 7, выгорают за два квартала. Бэклог растёт быстрее, чем люди работают, мотивация падает, процесс превращается в формальность - галочки для аудита. Те, кто строит приоритизацию на доказательствах (KEV, EPSS, контекст актива), закрывают меньше CVE, но нужных. Разница видна в числе инцидентов, а не в числе закрытых тикетов.
BOD 22-01 фиксирует правильный вектор: от «патчи всё по CVSS» к «патчи то, что эксплуатируют, на том, что торчит наружу». Инструменты для этого бесплатные - KEV, EPSS, NVD API, OSV. Дефицит не в данных, а в дисциплине: ежедневный прогон, корреляция с активами, честный учёт просроченных SLA.
По Mandiant M-Trends 2025, эксплойты - наиболее частый вектор initial access в 2024 году с долей 38%, опережая фишинг и использование прошлых компрометаций. Каждая CVE из KEV, оставшаяся без патча на публичном сервисе, - приглашение, которое атакующие принимают быстрее, чем ваш тикет дойдёт до владельца сервера. Если у вас в команде есть подобный конвейер или наработки по автоматизации vulnerability management - на форуме Codeby есть тред, где коллеги разбирают реализации таких пайплайнов и делятся скриптами.
