Înapoi la blog
    Awarely Monitor
    6 min

    CISA KEV + EPSS: Cum prioritizezi vulnerabilitățile când nu poți patch-ui tot

    Peste 40.000 de CVE-uri au fost publicate doar anul trecut. Echipa ta nu le poate rezolva pe toate — și nici nu ar trebui. Iată cum CISA KEV și scoringul EPSS transformă un backlog imposibil într-o listă de priorități gestionabilă.

    Numărul CVE-urilor publicate doboară recorduri an după an — peste 40.000 în ultimele douăsprezece luni. Pentru o echipă de securitate obișnuită, a trata fiecare CVE ca urgent înseamnă a nu trata niciunul ca urgent. Prioritizarea nu mai e opțională; e disciplina centrală a managementului vulnerabilităților.

    De ce CVSS singur nu e suficient

    CVSS îți spune cât de gravă ar putea fi o vulnerabilitate — nu cât de probabil e să fie exploatată. Mii de CVE-uri au scor 9.0+ în fiecare an, dar doar o mică parte sunt vreodată folosite în atacuri reale. Dacă coada de patch-uri e sortată doar după CVSS, echipa pierde timp pe risc teoretic în timp ce atacatorii exploatează vulnerabilitățile pe care chiar le folosesc.

    CISA KEV: semnalul "exploatat activ"

    Catalogul CISA Known Exploited Vulnerabilities (KEV) listează doar vulnerabilități cu exploatare confirmată în practică. Când un CVE ajunge în KEV, întrebarea nu mai e "ar trebui să patch-uim?" ci "cât de repede putem?". Agențiile federale americane sunt obligate legal să remedieze intrările KEV în termene stricte — iar aceeași disciplină funcționează pentru orice organizație.

    EPSS: probabilitate, nu severitate

    Exploit Prediction Scoring System (EPSS) estimează probabilitatea ca un CVE să fie exploatat în următoarele 30 de zile. Combinat cu CVSS, obții o vedere pe două axe: impact × probabilitate. Un CVE cu CVSS 7.5 și EPSS 0.9 merită atenție înaintea unuia cu CVSS 9.8 și EPSS 0.01.

    Un workflow practic de triaj

    Awarely Monitor agregă NVD, CISA KEV, EUVD și GitHub Advisories într-un singur dashboard, cu scoruri CVSS și EPSS pe fiecare CVE, workflow de status (Seen / Acknowledged / Mitigated), SLA tracking și rapoarte PDF aliniate NIS2 — lista de triaj se construiește singură.

    • În KEV → patch imediat, indiferent de scorul CVSS
    • EPSS peste 0.5 + îți afectează stack-ul → patch săptămâna aceasta
    • CVSS Critical + expus pe internet → patch în SLA (ex. 7 zile)
    • Restul → grupate în ciclurile normale de patch

    Awarely Monitor

    Vezi platforma în acțiune

    Încearcă Awarely Monitor gratuit 14 zile