📚 База знаний

Справочник терминов и метрик кибербезопасности

Идентификаторы и Базы (CVE и БДУ)

CVE (Common Vulnerabilities and Exposures)

Уникальный международный "паспортный номер" ошибки в программном обеспечении. Имеет формат CVE-ГОД-НОМЕР. Этот номер позволяет ИБ-специалистам, антивирусам и сканерам говорить об одной и той же проблеме на одном языке.

БДУ ФСТЭК (Банк Данных Угроз)

Российский аналог базы уязвимостей, который ведет Федеральная служба по техническому и экспортному контролю. Имеет формат BDU:ГОД-НОМЕР. Именно сюда оперативно попадает информация об уязвимостях в отечественном ПО (1С, Битрикс, Astra Linux, Kaspersky, Dr.Web и др.), которое часто не отслеживается в международных базах CVE.

CISA KEV (Known Exploited Vulnerabilities)

Это «Золотой стандарт» для приоритизации задач администратора. Каталог ведется Агентством по кибербезопасности США (CISA). В него попадают только те уязвимости, которые хакеры уже активно эксплуатируют. Если уязвимость находится в этом списке – патч нужно ставить немедленно.

Вектор атаки (Профиль угрозы CVSS)

Вектор (например: AV:N/AC:L/PR:N/UI:N) — это "ДНК" уязвимости. Он показывает, какие условия нужны хакеру для успешной атаки. На PatchFlow мы переводим эти буквы в 4 понятные плашки.

Вектор доступа (AV)
  • Сеть (Network - N): Хакер может атаковать через интернет. Это самый опасный тип.
  • Смежная сеть (Adjacent - A): Атакующему нужно находиться в вашей локальной сети или VPN.
  • Локально (Local - L): Требуется доступ к консоли ОС (SSH/RDP).
  • Физически (Physical - P): Нужно вставить флешку в сервер.
Сложность (AC)
  • Низкая (Low - L): Взломать легко, скрипт сработает с первой попытки.
  • Высокая (High - H): Взлом требует удачи, сбора данных или специфических настроек жертвы.
Привилегии (PR)
  • Не требуются (None - N): Атака от лица анонима (самая опасная).
  • Юзер (Low - L): Нужна обычная учетная запись.
  • Админ (High - H): Нужны права суперпользователя.
Действия жертвы (UI)
  • Бездействует (None - N): Сервер ломается сам, в фоновом режиме (Zero-Click).
  • Клик/Действие (Required - R): Жертва должна открыть фишинговое письмо или файл.

Оценка рисков: EPSS против CVSS

В ленте уязвимостей нашего сервиса вы можете заметить, что для международных угроз мы показываем вероятность в процентах, а для угроз из БДУ ФСТЭК – баллы тяжести. Это связано со спецификой доступных данных.

EPSS (Вероятность)

Exploit Prediction Scoring System

Измеряется в процентах (0–100%). Показывает вероятность того, что уязвимость будут эксплуатировать хакеры в ближайшие 30 дней.

Где используется: Для CVE. Мы выводим этот процент (например, ⚡ 95%), так как это лучшая метрика для понимания того, что нужно чинить сегодня, а что можно отложить.

CVSS (Тяжесть)

Common Vulnerability Scoring System

Измеряется в баллах (от 0 до 10). Показывает тяжесть последствий в случае успешного взлома (насколько легко взломать и каков ущерб).

Где используется: Для БДУ ФСТЭК. Так как международная система EPSS не анализирует российские номера BDU, для отечественного ПО мы опираемся на баллы опасности, присвоенные экспертами ФСТЭК.

Простое правило: EPSS говорит, нападут ли на вас, а CVSS – насколько больно будет, если нападут.

Прочие термины

Zero-Day (Уязвимость нулевого дня)

Самый опасный тип угроз. Это брешь в безопасности, о которой разработчик ПО еще не знает или для которой еще не успел выпустить патч. У администраторов есть "0 дней" на подготовку. В таких ситуациях PatchFlow помогает подобрать временные меры защиты (Mitigation) – например, отключение уязвимого модуля или настройку правил межсетевого экрана до выхода официального обновления.

Вернуться к мониторингу