Управление на известни експлоатирани уязвимости по CISA KEV за ISO 27001, NIS2 и DORA
Петъчната уязвимост, която стигна до управителния съвет
Петък е, 16:40. Ръководителят на SOC препраща предупреждение от CISA KEV, скенерът за уязвимости потвърждава експозиция на публично достъпен шлюз, а ENISA EUVD съдържа съответстващ запис за експлоатирана уязвимост. Доставчикът е публикувал корекция, но собственикът на продукционната среда предупреждава, че незабавното ѝ прилагане може да наруши клиентска услуга. Правният екип пита дали може да бъдат засегнати лични данни. Отговорникът по DORA пита дали платформата поддържа критична или важна функция. Координаторът по NIS2 пита дали това може да се превърне в значим инцидент.
CISO задава единствения въпрос, който има значение:
“Можем ли да докажем, че взехме правилното решение достатъчно бързо и с правилните одобрения?”
Това е реалният проблем при управлението на известни експлоатирани уязвимости през 2026 г. Не става дума само за идентифициране на CVE или за по-бързо прилагане на корекции. Става дума за преобразуване на разузнавателната информация за експлойти в защитим оперативен модел: приемане, триаж, приоритизиране, аварийна промяна, компенсиращи контроли, ескалация към доставчик, одобрение на изключение, съхранение на доказателства, докладване към ръководството и решения за отстраняване, готови за регулаторна проверка.
Много организации вече имат SLA за уязвимости. Някои използват потоци от разузнаване за заплахи. Малка част прилагат непрекъснато управление на експозицията. Но когато дадена уязвимост вече се експлоатира в реална среда, контекстът на риска се променя. Известна експлоатирана уязвимост, включена в CISA KEV или ENISA EUVD, не трябва да стои в същата опашка като рутинния backlog за корекции. Тя трябва да задейства различен управленски път, защото рискът вече не е теоретичен.
Позицията на Clarysec е ясна: отстраняването, водено от данни за експлоатиране, трябва да се управлява като бизнес процес, който създава доказателства, а не като неформално техническо реагиране под напрежение. Този процес може да бъде изграден върху ISO/IEC 27001:2022 ISO/IEC 27001:2022, подсилен от ISO/IEC 27002:2022 ISO/IEC 27002:2022 и съпоставен с управленските очаквания на NIS2, DORA, GDPR, NIST CSF 2.0 и COBIT 19.
От прилагане на корекции към доказуемо управление
Традиционното управление на уязвимостите често започва със степента на сериозност: CVSS оценка, критичност на актива, експозиция и наличност на корекция. Управлението, водено от данни за експлоатиране, добавя по-точен въпрос: използва ли се тази уязвимост вече от нападатели и имаме ли засегнати активи, доставчици, облачни услуги или потоци от данни?
Тази промяна изменя работния поток. Известна експлоатирана уязвимост трябва да задейства:
- Валидиране на разузнавателната информация за заплахи от доверени източници като CISA, ENISA, национални CERT екипи, доставчици, ISAC и MSSP.
- Корелация с активи, включително интернет експозиция, бизнес функция, класификация на данните и зависимост от доставчик.
- Спешно решение по риска, включително незабавна корекция, изолиране, деактивиране на функция, прилагане на workaround, мониторинг или временно приемане на остатъчен риск.
- Одобрение на промяна с проследимост, дори когато промяната е ускорена.
- Събиране на доказателства, включително времеви маркери, одобрения, журнали, снимки на екрана, резултати от сканиране, изявления на доставчика и записи за компенсиращи контроли.
- Докладване към ръководството, особено когато уязвимостта засяга критични услуги, лични данни, регулирани финансови услуги или съществени или важни услуги по NIS2.
- Валидация след отстраняване и извлечени поуки.
ISO 27001:2022 предоставя управленската рамка за този работен поток. Клаузи 4.1 до 4.4 изискват организацията да разбира вътрешния и външния контекст, заинтересованите страни, правните и регулаторните изисквания, интерфейсите и зависимостите, след което да дефинира и поддържа обхвата на Системата за управление на сигурността на информацията (СУИС). При управлението на уязвимости това означава, че обхватът трябва да включва реалните системи, облачни услуги, трети страни и регулирани услуги, при които експозицията към експлоатирана уязвимост може да създаде бизнес въздействие.
Клаузи 5.1 до 5.3 извеждат въпроса извън ИТ операциите. Висшето ръководство трябва да съгласува СУИС със стратегическата посока, да възлага отговорности, да осигурява ресурси, да комуникира значението на съответствието и да получава доклади за изпълнението. На практика съвпадение с CISA KEV при критична услуга не е просто билет за корекция. То е събитие, свързано с отчетността на изпълнителното ръководство.
Клаузи 6.1.1 до 6.1.3 осигуряват гръбнака на риска: критерии за риск, собственици на риска, оценка на вероятност и последици, варианти за третиране, Декларация за приложимост, план за третиране и приемане на остатъчния риск. Това е механизмът, който превръща „не можахме още да приложим корекция“ в документирано, одобрено и ограничено във времето изключение с компенсиращи контроли.
Клауза 8.1 става съществена, когато екипът преминава от решение към изпълнение. Тя изисква оперативно планиране и контрол, включително контрол на планирани промени и преглед на непредвидени промени. При KEV събитие организацията трябва да действа бързо, без да губи контрол.
Контролният триъгълник на Clarysec за експлоатирани уязвимости
Zenith Controls: The Cross-Compliance Guide на Clarysec Zenith Controls разглежда управлението на известни експлоатирани уязвимости като комбинация от три централни теми за контрол по ISO/IEC 27002:2022. Ръководството посочва тематично свързаните контроли като „Разузнаване за заплахи (5.7)“, „Управление на техническите уязвимости (8.8)“ и „Управление на промените (8.32)“.
Заедно тези контроли формират практически триъгълник:
| Управленски въпрос | Тема на контрол по ISO/IEC 27002:2022 | Оперативни доказателства |
|---|---|---|
| Как разбрахме, че тази уязвимост е съществена? | 5.7 Разузнаване за заплахи | Приемане на CISA KEV или ENISA EUVD, съобщение от доставчик, предупреждение от CERT, бележки за валидация, заявка за засегнати активи |
| Как я оценихме и отстранихме? | 8.8 Управление на техническите уязвимости | Запис за уязвимост, резултат от сканиране, оценка на риска, собственик, SLA, корекция или workaround, проверочно сканиране |
| Как безопасно променихме продукционната среда? | 8.32 Управление на промените | Билет за аварийна промяна, одобрение, резултат от тест, план за връщане към предишно състояние, журнал за внедряване, преглед след промяната |
Този триъгълник предотвратява често срещан одитен провал: третирането на управлението на уязвимостите като изход от скенер, а не като управлявана верига от решения. Одитор, регулатор или екип за уверение на клиентите няма да попита само дали е приложена корекция. Те ще попитат как организацията е узнала, приоритизирала, одобрила, внедрила и проверила решението.
Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint прави това конкретно във фазата Controls in Action, Step 22, където указва на екипите да изградят регистър на разузнаването за заплахи:
Създайте документиран списък с източници на разузнаване за заплахи (5.7) — от доставчици, ISAC или отворени източници — и определете как разузнавателната информация се валидира и интегрира във вземането на решения. Дефинирайте кой получава актуализации за заплахи и как се прилагат те (напр. приоритизиране на корекции, обучение за осведоменост).
В Step 19 Zenith Blueprint представя управлението на уязвимостите като съвременна киберхигиена и подчертава ускореното отстраняване на критични уязвимости:
Управлението на уязвимостите е една от най-критичните области на съвременната киберхигиена. Въпреки че защитните стени и антивирусните инструменти осигуряват защита, те могат да бъдат обезсилени, ако системи без приложени корекции или неправилно конфигурирани услуги останат експонирани.
Ръководството също предупреждава, че констатациите от сканиране не трябва да се архивират пасивно. Те трябва да бъдат триажирани, възложени и проследени до приключване. Точно тази дисциплина изисква управлението по CISA KEV и ENISA EUVD.
Политиката превръща спешността в правила
Моделът на управление работи само когато е отразен в политиката. Корпоративната Политика за управление на уязвимости и корекции на Clarysec Политика за управление на уязвимости и корекции, наричана в контекста на инструментариума и P19 Политика за управление на уязвимости и корекции, ясно възлага изискването за мониторинг и ескалация:
Наблюдавайте съобщения за заплахи (напр. CVE, CISA KEV, бюлетини от доставчици) и ескалирайте критичните уязвимости.
От раздел „Роли и отговорности“, клауза 4.5.1 от политиката.
Същата корпоративна политика дефинира стриктно очакване за отстраняване на критични уязвимости:
Критична (CVSS 9.0-10.0): незабавен преглед; срок за прилагане на корекция — максимум 72 часа.
От раздел „Управленски изисквания“, клауза 5.2.1 от политиката.
За МСП Политиката за управление на уязвимости и корекции-sme на Clarysec Политика за управление на уязвимости и корекции-sme - МСП, наричана и P19S Политика за управление на уязвимости и корекции-sme, прави същата концепция оперативна и пряка:
Съобщения от доверени източници на разузнаване за заплахи (напр. CISA, ENISA, предупреждения от национален CERT)
От раздел „Изисквания за внедряване на политиката“, клауза 6.2.1.3 от политиката.
Тя също задава практическия стандарт за прилагане на корекции:
Критичните корекции трябва да се прилагат в срок до 3 дни от публикуването им, особено за публично достъпни системи
От раздел „Изисквания за внедряване на политиката“, клауза 6.1.1 от политиката.
Фразата „особено за публично достъпни системи“ е важна. Управлението на известни експлоатирани уязвимости трябва да приоритизира експонирани системи, услуги за отдалечен достъп, инфраструктура за идентичности, Edge устройства, административни панели на SaaS и системи, които обработват чувствителни или регулирани данни.
Но какво се случва, когато бизнесът не може да приложи корекция в рамките на SLA? Корпоративната политика затваря цикъла:
Ако дадена уязвимост не може да бъде отстранена в рамките на дефинираните SLA поради оперативни, технически или доставчически ограничения, трябва да бъде подадена формална заявка за изключение.
От раздел „Третиране на риска и изключения“, клауза 7.1 от политиката.
Версията за МСП изисква журнали за корекции, които поддържат възможност за одит:
Журналите трябва да включват името на устройството, приложената актуализация, датата на прилагане на корекцията и причината за всяко забавяне
От раздел „Управленски изисквания“, клауза 5.4.2 от политиката.
Тези клаузи от политиката създават доказателствения гръбнак. Те позволяват на CISO да каже: имаме правила за приемане на разузнавателна информация, приоритизиране, срокове за корекции, изключения и причини за забавяне. Това е разликата между реактивно прилагане на корекции и управлявано отстраняване.
Аварийна промяна без загуба на контрол
Известните експлоатирани уязвимости често налагат аварийни промени. Изчакването на следващото заседание на Консултативния съвет по промените (CAB) може да бъде небрежност. Пълното заобикаляне на управлението на промените може да бъде безразсъдно. Отговорът е ускорен и проследим контрол на промените.
Корпоративната Политика за управление на промените на Clarysec Политика за управление на промените, наричана и P05 Политика за управление на промените, посочва:
Аварийните промени могат да продължат с ускорено устно или делегирано одобрение от оправомощени роли.
От раздел „Изисквания за внедряване на политиката“, клауза 6.5.1 от политиката.
За МСП Политиката за управление на промените на Clarysec Политика за управление на промените - МСП признава същата оперативна реалност:
Аварийни или непланирани промени могат да бъдат внедрени незабавно в отговор на критични прекъсвания или заплахи. Въпреки това:
От раздел „Третиране на риска и изключения“, клауза 7.4.1 от политиката.
Думите „Въпреки това“ са мястото, където се проявява управлението. Аварийната промяна все пак трябва да документира тригера, засегнатите системи, решението по риска, одобряващия, времето на внедряване, резултата от валидацията и последващия ретроспективен преглед. Zenith Blueprint, във фазата Controls in Action, Step 21, описва управлението на промените като повторяем работен поток, при който промените се оценяват, разрешават, внедряват и преглеждат. То предупреждава, че много инциденти се причиняват не от нападатели, а от неправилно управлявана промяна: правило на защитна стена, отворено твърде широко, debug настройка, оставена активна, или забравена зависимост след миграция.
За отстраняване на известна експлоатирана уязвимост минималните доказателства за аварийна промяна трябва да включват:
| Доказателствен елемент | Защо е важен |
|---|---|
| Източник на информация за заплахата и времеви маркер | Показва кога организацията е узнала за активно експлоатиране |
| Списък със засегнати активи | Доказва анализ на обхвата и приоритизиране |
| Собственик на бизнеса и собственик на риска | Показва отчетно вземане на решения |
| Решение за корекция или workaround | Показва избраната опция за третиране |
| Аварийно одобрение | Показва контролирана оторизация под напрежение |
| Бележка за тест или връщане към предишно състояние | Показва, че оперативният риск е отчетен |
| Журнали за внедряване | Показват, че внедряването е извършено |
| Сканиране за валидация или проверка на конфигурацията | Показва ефективността на отстраняването |
| Запис за изключение, ако не е приложена корекция | Показва, че остатъчният риск е обработен формално |
| Уведомление до ръководството | Показва ескалация при критична експозиция |
Това не е бюрокрация. Това е минимално необходимата одитна следа за решение, взето под натиск от противник.
Съпоставяне на CISA KEV и ENISA EUVD с доказателства по ISO 27001
ISO 27001:2022 не изисква конкретен източник на разузнаване за заплахи. Той изисква организацията да идентифицира изисквания, да управлява риска, да внедрява контроли, да съхранява документирана информация и да се подобрява. CISA KEV и ENISA EUVD могат да се превърнат в официални входни данни за тази система за управление.
| Дейност, водена от данни за експлоатиране | Доказателства по ISO 27001:2022 и Приложение A |
|---|---|
| Поддържане на регистър на източниците KEV и EUVD | Доказателства за клаузи 4.1, 4.2, 4.4 и Приложение A 5.7 |
| Корелация на експлоатирани CVE с активи и доставчици | Доказателства за оценка на риска по клауза 6.1, Приложение A 5.9, 5.19, 5.20, 5.21, 5.22 и 5.23 |
| Приоритизиране на публично достъпни и критични услуги | Критерии за риск по клауза 6.1 и приоритизиране на третирането |
| Прилагане на корекции или мерки за смекчаване | Приложение A 8.8 Управление на техническите уязвимости |
| Използване на одобрение за аварийна промяна | Клауза 8.1 и Приложение A 8.32 Управление на промените |
| Записване на забавяния и изключения | Приемане на остатъчния риск и план за третиране по клауза 6.1.3 |
| Съхраняване на доказателства | Приложение A 5.28 Събиране на доказателства и клауза 7.5 документирана информация |
| Докладване на тенденции към ръководството | Клаузи 5.3, 9.1 и 9.3 за резултатност и преглед от ръководството |
| Актуализиране на контролите след инциденти или предотвратени инциденти | Приложение A 5.27 Извличане на поуки от инциденти по информационна сигурност и клауза 10 подобрение |
Zenith Blueprint, във фазата Risk Management, Step 13, препоръчва проследимост между рискове, контроли и клаузи:
Кръстосано съпоставяйте регулации: ако определени контроли са внедрени специално за спазване на GDPR, NIS2 или DORA, можете да отбележите това или в Регистъра на риска (като част от обосновката на въздействието на риска), или в бележките към SoA.
При известна експлоатирана уязвимост записът в регистъра на риска не трябва да гласи само „Коригирай CVE“. Той трябва да идентифицира източника на информация за заплахата, засегнатата услуга, регулаторната релевантност, собственика на риска, третирането, препратките към контроли и местоположението на доказателствата.
Съпоставяне за съответствие между NIS2, DORA, GDPR и управленско докладване
Стойността на управлението, водено от данни за експлоатиране, е в това, че един контролиран работен поток може да отговори на множество регулаторни въпроси. Един и същ билет, запис за промяна, формуляр за изключение, имейл от доставчик и сканиране за валидация могат да поддържат различни доказателствени наративи, когато са съпоставени целенасочено.
| Рамка | Относими изисквания | Как управлението, водено от данни за експлоатиране, предоставя доказателства |
|---|---|---|
| ISO/IEC 27001:2022 | Клаузи 6.1.2, 6.1.3 и 8.1, Приложение A 5.7, 8.8 и 8.32 | Доказва оценка на риска, третиране на риска, оперативен контрол, разузнаване за заплахи, управление на уязвимостите и контролирана промяна |
| NIS2 Directive | Article 20, Article 21 и Article 23 | Показва надзор от ръководството, обработване на уязвимости, киберхигиена, отчитане на веригата на доставки и оценка за докладване на инцидент |
| DORA | Articles 5, 6, 9, 13, 17, 28 и 30 | Показва ИКТ управление, управление на ИКТ риска, защита, разузнаване за заплахи, управление на инциденти и контрол на риска от трети страни |
| GDPR | Articles 5(2), 25 и 32 | Показва отчетност, защита на данните на етапа на проектиране и по подразбиране, както и подходящи технически и организационни мерки за сигурност |
| NIST CSF 2.0 | GOVERN, IDENTIFY, PROTECT, DETECT, RESPOND и RECOVER | Преобразува работния поток в изпълнителен риск, контекст на активите, контроли, телеметрия, ескалация и резултати от възстановяване |
| COBIT 19 | Управление, оптимизация на риска, мониторинг на изпълнението и уверение | Показва права за вземане на решения, собственост, показатели, съгласуване с апетита за риск, надзор върху изключенията и независимо уверение |
NIS2 променя разговора за съществените и важните субекти, защото Article 20 превръща киберсигурността във въпрос на отчетност на управителния орган. Article 21 изисква подходящи и пропорционални технически, оперативни и организационни мерки, включително обработване на инциденти, непрекъснатост на дейността, сигурност на веригата на доставки, обработване и оповестяване на уязвимости, киберхигиена, контрол на достъпа, управление на активите и автентикация.
Article 23 добавя поетапно докладване за значими инциденти, включително ранно предупреждение в срок до 24 часа, уведомяване в срок до 72 часа и окончателен доклад в срок до един месец след уведомлението за инцидента. Съвпадение с CISA KEV или ENISA EUVD не е автоматично инцидент, подлежащ на докладване. Но то трябва да задейства документирана оценка на инцидент, когато експлоатиране, прекъсване на услуга, вреда за клиентите или въздействие върху данните са вероятни.
DORA добавя секторно специфична перспектива за финансовите субекти. Тя се прилага от 17 януари 2025 г. и изисква управление, документирано управление на ИКТ риска, тестване, устойчивост, управление на инциденти и контрол на ИКТ риска от трети страни. Article 13 е особено релевантен, защото изисква способности за управление на уязвимости и разузнаване за киберзаплахи, извлечени поуки и мониторинг на технологичното развитие. Article 17 изисква процес за управление на инциденти, свързани с ИКТ, който записва инциденти и значими киберзаплахи, класифицира ги по приоритет и степен на сериозност, ескалира, идентифицира първопричини и възстановява сигурните операции.
DORA Articles 28 и 30 също налагат дисциплина при доставчиците. Ако платежна платформа зависи от облачен WAF, управлявана база данни, доставчик на идентичност или SaaS двигател за работни потоци, засегнат от известна експлоатирана уязвимост, доказателствата не могат да приключат с „доставчикът казва, че е коригирано“. Те трябва да включват уведомление от доставчика, оценка на критичността, използвани договорни права, компенсиращи контроли, оценка на въздействието върху клиентите и проверка след отстраняване.
GDPR добавя въпроса, ориентиран към данните. Article 32 изисква сигурност на обработването, а Article 5(2) създава отчетност. Прегледът на поверителността трябва да започне преди потвърдено нарушение, а не след като извличането на данни бъде доказано.
| Доказателствен въпрос по GDPR | Практически отговор |
|---|---|
| Обработва ли засегнатият актив лични данни? | Препратка към инвентар на данните и роля на администратор или обработващ лични данни |
| Какви категории лични данни са включени? | Класификация на данните и цел на обработването |
| Може ли експлоатирането да засегне поверителност, цялостност или наличност? | Оценка на въздействието върху CIA |
| Налични ли са били шифроване, контрол на достъпа или сегментиране? | Доказателства за контролите и препратка към конфигурацията |
| Подозирано или потвърдено ли е нарушение на сигурността на личните данни? | Оценка на инцидента и правен преглед |
| Разгледано ли е уведомяване на надзорния орган? | Запис за решение относно нарушение по GDPR |
| Засегнати ли са субекти на данни? | Оценка на въздействието и комуникацията |
Практически запис за отстраняване по KEV и EUVD
Да разгледаме реалистичен сценарий. ENISA EUVD и CISA KEV посочват активно експлоатиране на уязвимост, която засяга публично достъпна услуга за прехвърляне на файлове. Услугата поддържа въвеждане на клиенти и съхранява ограничени лични данни. Съществува корекция от доставчика, но собственикът на приложението иска прозорец за поддръжка, а един свързан SaaS компонент зависи от отстраняване от доставчик.
Създайте един запис в регистъра за управление на уязвимости със следните полета:
| Поле | Примерен запис |
|---|---|
| Източник на разузнавателна информация | CISA KEV, ENISA EUVD, бюлетин от доставчик, съобщение от национален CERT |
| Дата и час на идентифициране | 2026-05-29 16:40 UTC |
| Уязвимост | CVE идентификатор, продукт на доставчика, засегнати версии |
| Статус на експлоатиране | Известна експлоатирана уязвимост, наличен публичен експлойт, доставчикът потвърждава активно насочване |
| Корелация с активи | Публично достъпен шлюз за прехвърляне на файлове при въвеждане на клиенти, продукционна среда |
| Бизнес услуга | Въвеждане на клиенти, регулиран клиентски работен поток |
| Въздействие върху данните | Налични лични данни, ограничени идентификатори и качени документи |
| Регулаторни маркери | Обхват на СУИС по ISO 27001, оценка на услуга по NIS2, доказателства по GDPR Article 32, DORA при приложима поддръжка на финансова услуга |
| Първоначална оценка на риска | Критична поради активно експлоатиране и интернет експозиция |
| Решение за третиране | Аварийна корекция в срок до 24 часа, незабавно правило за WAF, засилено журналиране |
| Път на промяната | Аварийна промяна с делегирано одобрение |
| Одобряващ | Делегат на CISO и собственик на услугата |
| Компенсиращи контроли | IP ограничение, WAF виртуална корекция, EDR правило, SIEM мониторинг, временни ограничения за качване |
| Необходимо изключение | Необходимо само за SaaS компонента до отстраняване от доставчика |
| Валидация | Скенерът е чист, версията е проверена, журналите са прегледани за индикатори |
| Местоположение на доказателствата | Връзка към билет, SIEM заявка, запис за промяна, журнал за корекция, снимка на екрана, уведомление от доставчик |
| Извлечени поуки | Добавяне на услугата към седмична проверка на експозицията и наръчник за уведомяване на доставчици |
След това приложете правилата на политиките на Clarysec:
- Използвайте корпоративната Политика за управление на уязвимости и корекции, ако работите в по-голяма организация с формални роли, SLA и ескалация.
- Използвайте Политика за управление на уязвимости и корекции-sme за МСП, ако ви е необходим лек, но одитируем модел.
- Използвайте корпоративната Политика за управление на промените или Политика за управление на промените за МСП, за да документирате аварийното одобрение, тестването, внедряването и ретроспективния преглед.
- Свържете записа с Регистъра на риска и Декларацията за приложимост, както е препоръчано в Zenith Blueprint, Step 13.
- Маркирайте контролите в Zenith Controls като 5.7, 8.8 и 8.32, след което добавете подкрепящи доказателства за управление на доставчици, управление на облачни услуги, журналиране, управление на инциденти и непрекъснатост на дейността, когато е приложимо.
Накрая съхранявайте доказателства за одит. Корпоративната Политика за одит и мониторинг на съответствието на Clarysec Политика за одит и мониторинг на съответствието, наричана и P33 Политика за одит и мониторинг на съответствието, дефинира изрична цел:
Да се генерират защитими доказателства и одитна следа в подкрепа на регулаторни запитвания, съдебни производства или искания от клиенти за потвърждение на контролите.
От раздел „Цели“, клауза 3.4 от политиката.
Това е смисълът на работния поток. Вие не само поправяте уязвимост. Създавате защитими доказателства, че организацията е действала пропорционално, своевременно и под контрол.
Как одиторите ще тестват същото решение по KEV
Зрелият процес за известни експлоатирани уязвимости трябва да издържа на различни одитни перспективи.
Одитор по ISO 27001:2022 ще започне с обхвата на СУИС, заинтересованите страни, регулаторните задължения, метода за оценка на риска, Декларацията за приложимост и документираната информация. Той ще попита дали разузнаването за заплахи е интегрирано в оценката на риска, дали управлението на уязвимостите е повторяемо, дали аварийните промени са контролирани, дали остатъчният риск е приет от правилния собственик на риска и дали доказателствата се съхраняват.
Оценител, ориентиран към NIS2, ще се фокусира върху отчетността на ръководството, мерките за управление на риска по Article 21, уязвимостите при доставчици, обработването на инциденти, непрекъснатостта на дейността и оценката на значим инцидент по Article 23. За него ще са важни времевите маркери, ескалацията, записите за решения и дали управителните органи са били информирани, когато е било подходящо.
Одитор по DORA или компетентен орган ще попита дали рамката за управление на ИКТ риска е обхванала засегнатия актив, бизнес функцията, зависимостта и услугата от трета страна. Той ще очаква класификация на инцидента, записи за значими киберзаплахи, ескалация към ръководството, последващ анализ на първопричината, доказателства от доставчика, тестване и проследяване на отстраняването.
Проверяващ по GDPR ще попита дали са включени лични данни, дали поверителността, цялостността или наличността може да са били засегнати, какви технически и организационни мерки са били налични, дали е оценено уведомяване за нарушение и дали съществуват доказателства за отчетност.
Оценител по NIST CSF 2.0 може да използва CSF Core и профили, за да провери дали резултатите от управлението, идентифицирането, защитата, откриването, реагирането и възстановяването са дефинирани и измервани. Практически Target Profile може да гласи: „Всички известни експлоатирани уязвимости, засягащи публично достъпни критични активи, се триажират в срок до 24 часа, третират се в срок до 72 часа или се изключват формално с компенсиращи контроли и одобрение от собственик на риска.“
Одитор по COBIT 19 ще попита кой носи отчетност, дали управленските цели са дефинирани, дали апетитът за риск определя спешността, дали показателите за изпълнение се преглеждат, дали изключенията се наблюдават и дали функциите по уверение тестват процеса независимо.
Един и същ доказателствен запис трябва да отговаря на всички тези въпроси. Това е стойността на инженерния подход към съответствието между различни рамки.
Показатели, които управителният съвет трябва да вижда
Управителните съвети не се нуждаят от списък на всяко CVE. Те се нуждаят от качествени показатели за решенията, които показват експозиция, бързина на реакция и остатъчен риск. За управлението на известни експлоатирани уязвимости Clarysec препоръчва кратък управленски доклад със следното:
| Показател | Защо е важен |
|---|---|
| Брой съвпадения с KEV или EUVD за периода | Показва обема на експозиция към заплахи |
| Процент, засягащ публично достъпни активи | Показва риска за външната атакуваема повърхност |
| Процент, засягащ критични услуги или лични данни | Показва бизнес и регулаторна релевантност |
| Медианно време до триаж | Показва скоростта на приемане |
| Медианно време до отстраняване | Показва оперативна ефективност |
| Брой нарушения на SLA | Показва проблеми в резултатността на контрола |
| Отворени изключения по собственик на риска | Показва отчетност за остатъчния риск |
| Забавяния в отстраняването, причинени от доставчици | Показва риск от зависимост от трети страни |
| Потвърдени събития на експлоатиране | Показва релевантност към инциденти |
| Повтарящо се уязвими активи | Показва системни проблеми в хигиената |
Тези показатели подкрепят прегледа от ръководството по ISO 27001, отчетността на ръководството по NIS2, докладването на ИКТ риска по DORA и комуникацията за управление по NIST CSF. Те също помагат на собствениците на бизнеса да разберат защо капацитетът за прилагане на корекции, качеството на инвентара на активите, договорите с доставчици и прозорците за поддръжка не са „ИТ детайли“. Те са решения за устойчивост.
Често срещани модели на провал, които трябва да се отстранят
В оценките на Clarysec управлението на известни експлоатирани уязвимости обикновено се проваля по предвидими начини.
Първо, източниците на разузнавателна информация са неформални. Един инженер по сигурността следи CISA KEV, друг следи бюлетини от доставчици, а трети разчита на изхода от скенера. Няма документиран регистър на разузнаването за заплахи, няма правило за валидация и няма собственост.
Второ, корелацията с активи е слаба. Организацията знае, че съществува CVE, но не може бързо да установи къде работи продуктът, дали е публично достъпен, кой го притежава, какви данни обработва или кой доставчик го управлява.
Трето, аварийната промяна е или твърде бавна, или твърде неконтролирана. Екипите чакат дни за одобрение или прилагат корекции в продукционна среда без бележки за връщане към предишно състояние, валидация или ретроспективен преглед.
Четвърто, изключенията са неясни. „Не може да се приложи корекция поради бизнес въздействие“ не е приемане на риска. Правилното изключение трябва да дефинира ограничението, засегнатите активи, компенсиращите контроли, остатъчния риск, одобряващия, датата на изтичане и честотата на преглед.
Пето, доказателствата са разпръснати. Снимки на екрана от скенер, одобрения в чат, имейли от доставчици, SIEM заявки и записи за промени се намират на различни места. При одит или регулаторно запитване организацията не може да възстанови хронологията на решението.
Решението не е повече шум. То е единен управленски работен поток, воден от данни за експлоатиране, който интегрира процесите за разузнаване, риск, промяна, инциденти, доставчици и доказателства.
Изградете своя доказателствен механизъм, воден от данни за експлоатиране
Известните експлоатирани уязвимости ще останат оперативен проблем с голям обем през 2026 г. CISA KEV и ENISA EUVD правят разузнаването за експлоатиране по-видимо, но видимостта сама по себе си не удовлетворява очакванията за доказателства по ISO 27001:2022, NIS2, DORA или GDPR. Необходим е управляван процес, който преобразува разузнавателната информация в действие, а действието — в доказателство.
Започнете с четири стъпки:
- Изградете регистър на разузнаването за заплахи чрез Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, фаза Controls in Action, Step 22.
- Съгласувайте правилата на политиките с Политиката за управление на уязвимости и корекции на Clarysec Политика за управление на уязвимости и корекции или Политиката за управление на уязвимости и корекции-sme Политика за управление на уязвимости и корекции-sme - МСП.
- Използвайте Zenith Controls: The Cross-Compliance Guide Zenith Controls, за да съпоставите 5.7 Разузнаване за заплахи, 8.8 Управление на техническите уязвимости и 8.32 Управление на промените с нуждите от доказателства по ISO, NIS2, DORA, GDPR, NIST и COBIT.
- Тествайте един реален случай по KEV или EUVD от край до край — от приемането до отстраняването, обработката на изключения, аварийната промяна, валидацията и управленското докладване.
Clarysec може да ви помогне да превърнете това в работещ оперативен модел, готов за одит: политики, регистри, шаблони за доказателства, съпоставяния за съответствие между различни рамки и докладване на ниво управителен съвет, които правят отстраняването, водено от данни за експлоатиране, защитимо пред одитора, регулатора и вашите клиенти.
Изтеглете Zenith Blueprint, разгледайте Zenith Controls или заявете оценка на готовността от Clarysec, за да изградите своя работен поток за управление на CISA KEV и ENISA EUVD, преди следващата петъчна уязвимост да стигне до управителния съвет.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
