Prečo samotné CVSS nestačí
CVSS meria vnútornú závažnosť zraniteľnosti – aká zlá by mohla byť v najhoršom prípade. Nemeria, aká je pravdepodobnosť zneužitia, či existuje verejný exploit, čo postihnutý prvok robí, alebo či kompenzačné kontroly znižujú riziko. Zraniteľnosť CVSS 9.8 bez verejného exploit v systéme určenom len pre interné použitie je menej urgentná ako zraniteľnosť CVSS 7.5 s aktívnym exploit kitom, ktorý cielia na platobné systémy prístupné z internetu.
EPSS: Systém predikcie skóre exploitov
EPSS predpovedá pravdepodobnosť, že zraniteľnosť bude zneužitá "v divočine" v priebehu nasledujúcich 30 dní na základe dát o reálnom zneužívaní. Skóre EPSS 0,97 znamená 97% pravdepodobnosť zneužitia. V kombinácii s CVSS, EPSS pomáha rozlišovať medzi teoretickou závažnosťou a praktickým rizikom. CVE s vysokým CVSS, ale nízkym EPSS, môžu byť často odsunuté na neskôr. CVE s miernym CVSS, ale vysokým EPSS, by mali byť rýchlo spracované.
SSVC: Kategorizácia zraniteľností špecifická pre zainteresované strany
SSVC, vyvinuté CISA a Carnegie Mellon, nahrádza numerické skóre rozhodovacími stromami. Hodnotí stav zneužitia (žiadne, PoC, aktívne), technický dopad (čiastočný, úplný), prevahu v misii (minimálna, podporná, zásadná) a vytvára odporúčanú akciu: Sledovať, Sledovať*, Venovať pozornosť alebo Konať. SSVC vytvára lepšie realizovateľné výsledky ako numerické skóre.
Kontextuálna prioritizácia
Najúčinnejšia prioritizácia pridáva váš špecifický podnikateľský kontext: čo postihnutý systém robí? Aké dáta uchováva? Je prístupný z internetu alebo len pre interné použitie? Sú zavedené kompenzačné kontroly? Aký je rozsah dopadu v prípade kompromitácie? Táto kontextuálna analýza je oblasť, kde manuálne expertné testovanie spoločnosti Penetrify pridáva najväčšiu hodnotu – testeri vyhodnocujú zistenia v kontexte vášho špecifického prostredia, vytvárajú hodnotenia závažnosti, ktoré odrážajú skutočné podnikateľské riziko, a nie teoretické skóre.
Praktický pracovný postup prioritizácie
Krok 1: Filtrujte podľa EPSS > 0,1 (zraniteľnosti s významnou pravdepodobnosťou zneužitia). Krok 2: Usporiadajte podľa kritickosti aktív (prístup z internetu, citlivé dáta, generovanie príjmu). Krok 3: Skontrolujte kompenzačné kontroly, ktoré znižujú efektívne riziko. Krok 4: Použite rozhodovací strom SSVC pre odporúčanú akciu. Krok 5: Priraďte časové osi nápravy na základe výslednej priority. Tento pracovný postup zredukuje vašich 847 zistení na 30–50, ktoré si skutočne vyžadujú okamžitú pozornosť.
Záver
CVSS je východiskový bod, nie rámec prioritizácie. Vrstvite EPSS pre pravdepodobnosť zneužitia, SSVC pre realizovateľné rozhodnutia a kontextuálnu analýzu pre relevantnosť pre podnikanie. Expertní testeri spoločnosti Penetrify poskytujú kontextuálnu prioritizáciu, ktorú automatizované skórovanie nedokáže – pretože vedieť, že zraniteľnosť existuje, je menej dôležité ako vedieť, či je dôležitá pre vaše podnikanie.