← Блог

NVD, CISA KEV та EPSS: як Panoptic пріоритизує вразливості

Комбінація трьох джерел даних — NVD, CISA KEV та EPSS — дозволяє пріоритизувати вразливості в 18 разів ефективніше, ніж використання лише CVSS-скорів.

OSINT · 2026-04-07T12:00:00

Понад 200 000 CVE у базі NVD. Щотижня з'являються сотні нових. Як визначити, які з них дійсно загрожують вашій компанії? Відповідь — комбінація трьох джерел даних.

Вступ

У National Vulnerability Database (NVD) зареєстровано понад 200 000 вразливостей (CVE). Щороку додається 25 000+. Якщо ви відповідаєте за кібербезпеку компанії, ви фізично не можете реагувати на кожну з них.

Традиційний підхід — сортувати за CVSS-скором. Вразливість з CVSS 10.0? Критична, патчити негайно. CVSS 3.0? Низький пріоритет.

Проблема: CVSS вимірює потенційну серйозність, а не реальну загрозу. Дослідження показують, що лише 2-5% вразливостей будь-коли експлуатуються в реальних атаках. При цьому деякі вразливості з CVSS 5.0 активно використовуються хакерами, тоді як багато з CVSS 10.0 — ніколи.

Покладатися лише на CVSS — це як евакуювати все місто через кожен прогноз дощу. Потрібен точніший підхід.

Три джерела, одна картина

Panoptic використовує три взаємодоповнюючі джерела для пріоритизації вразливостей:

NVD (National Vulnerability Database)

Державний реєстр вразливостей США, який веде NIST. Для кожної CVE містить:

  • Опис вразливості
  • CVSS-скор та вектор атаки
  • Перелік вразливого ПЗ (CPE-ідентифікатори)
  • Посилання на патчі та advisory
    • Роль: деталі вразливості та оцінка серйозності.

    CISA KEV (Known Exploited Vulnerabilities)

    Каталог вразливостей з підтвердженою активною експлуатацією, який веде CISA (Агентство кібербезпеки США). Станом на 2026 рік містить ~1 250 записів.

    Якщо CVE є в KEV — це не теоретична загроза. Це вразливість, яку прямо зараз використовують зловмисники.

    Роль: підтвердження реальної експлуатації.

    EPSS (Exploit Prediction Scoring System)

    Модель від FIRST.org, яка оцінює ймовірність того, що CVE буде експлуатована протягом наступних 30 днів. Шкала від 0.0 до 1.0.

    EPSS аналізує десятки факторів: наявність публічних експлойтів, згадки в соцмережах, характеристики вразливості, тренди загроз.

    Роль: прогнозування майбутньої експлуатації.

    Як вони доповнюють одне одного

    | Джерело | Що відповідає | Тип сигналу | |---------|--------------|-------------| | NVD (CVSS) | Наскільки серйозна вразливість? | Статичний, теоретичний | | CISA KEV | Чи експлуатується зараз? | Ретроспективний, підтверджений | | EPSS | Яка ймовірність експлуатації? | Прогностичний, динамічний |

    Як працює пріоритизація

    Panoptic комбінує дані з трьох джерел у чотирирівневу систему пріоритетів:

    | Пріоритет | Критерії | Дія | |-----------|----------|-----| | CRITICAL | В каталозі KEV АБО (EPSS > 0.7 та CVSS >= 9.0) | Негайний патчинг, алерт протягом 1 години | | HIGH | EPSS > 0.4 АБО (CVSS >= 7.0 та в KEV) | Патч протягом 48 годин, щоденний звіт | | MEDIUM | CVSS >= 4.0 АБО EPSS > 0.1 | Патч протягом 14 днів, щотижневий звіт | | LOW | Все інше | Відстеження, місячний звіт |

    Приклади

    | CVE | CVSS | EPSS | KEV | Тільки CVSS | Panoptic | |-----|------|------|-----|-------------|----------| | CVE-2021-44228 (Log4Shell) | 10.0 | 0.975 | Так | CRITICAL | CRITICAL | | CVE-2023-44487 (HTTP/2 Rapid Reset) | 7.5 | 0.83 | Так | HIGH | CRITICAL | | CVE-2024-3094 (XZ Utils) | 10.0 | 0.94 | Так | CRITICAL | CRITICAL | | CVE-2023-XXXXX (теоретична) | 10.0 | 0.002 | Ні | CRITICAL | MEDIUM | | CVE-2023-YYYYY (масова експлуатація) | 5.3 | 0.89 | Так | MEDIUM | CRITICAL |

    Зверніть увагу на два останні рядки: CVSS 10.0 з мінімальним EPSS опускається до MEDIUM, а CVSS 5.3 з підтвердженою експлуатацією піднімається до CRITICAL. Це і є суть інтелектуальної пріоритизації.

    Log4Shell як кейс

    CVE-2021-44228 (Apache Log4j) — ідеальний приклад того, чому потрібні всі три джерела.

    Хронологія

  • 9 грудня 2021: CVE опубліковано в NVD з CVSS 10.0
  • 10 грудня 2021: CISA додає до KEV каталогу
  • 11 грудня 2021: EPSS-скор сягає 0.975

    • Метрики

    ~~~ CVE-2021-44228 — Apache Log4j2 Remote Code Execution ├── CVSS: 10.0 (CRITICAL) │ Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H ├── EPSS: 0.975 (99.8-й перцентиль) ├── KEV: Так (додано 2021-12-10) ├── Ransomware: Known (Conti, Khonsari та інші) └── Panoptic: CRITICAL <- максимальний пріоритет ~~~

    Чому CVSS було недостатньо

    У той самий тиждень у NVD з'явилося ще 12 CVE з CVSS 10.0. Якщо патчити все з CVSS 10.0 — це 13 задач. Але тільки Log4Shell реально експлуатувалась масово.

    З системою Panoptic: Log4Shell — CRITICAL, решта 12 — від MEDIUM до HIGH (залежно від EPSS). Команда безпеки фокусується на тому, що дійсно важливо.

    Як Panoptic використовує ці дані

    Автоматичний моніторинг

    Panoptic автоматично:

    1. Кожні 2 години перевіряє NVD на нові та оновлені CVE 2. Щодня оновлює каталог CISA KEV 3. Щодня оновлює EPSS-скори для відстежуваних CVE

    Зіставлення з технологічним стеком клієнта

    ~~~ Виявлення стеку (OSINT) -> Маппінг на CPE -> Пошук CVE nginx 1.24.0 cpe:2.3:a:f5:nginx:1.24 CVE-2024-XXXX PostgreSQL 15.2 cpe:2.3:a:postgresql:... CVE-2024-YYYY OpenSSL 3.0.8 cpe:2.3:a:openssl:... CVE-2024-ZZZZ ~~~

    Panoptic автоматично виявляє технології клієнта через:

  • DNS-записи та HTTP-заголовки
  • SSL/TLS-сертифікати
  • Fingerprinting веб-додатків
  • Аналіз публічних репозиторіїв

    • Алерти

    Коли виявляється вразливість рівня CRITICAL або HIGH, що стосується технологічного стеку клієнта, Panoptic генерує алерт з:

  • Описом вразливості
  • Оцінкою ризику (CVSS + EPSS + KEV)
  • Переліком вразливих активів клієнта
  • Рекомендаціями щодо усунення

    • Висновок

    Пріоритизація вразливостей на основі лише CVSS — це підхід минулого десятиліття. З 200 000+ CVE в базі NVD, команди безпеки тонуть в алертах.

    Комбінація NVD + CISA KEV + EPSS дозволяє:

  • Зменшити кількість критичних алертів у 18 разів (з ~10 000 CVE з CVSS >= 7.0 до ~550 дійсно небезпечних)
  • Не пропустити жодну активно експлуатовану вразливість (100% покриття KEV)
  • Прогнозувати загрози до початку масової експлуатації (EPSS)

    • Panoptic інтегрує ці три джерела в єдину автоматизовану систему моніторингу, яка працює 24/7 і фокусує увагу вашої команди безпеки на тому, що дійсно важливо.

    Всі три джерела даних — безкоштовні. Різницю робить інтелектуальна комбінація та автоматизація.
    Хочете дізнатися, які вразливості загрожують саме вашій інфраструктурі? Зверніться до Panoptic для безкоштовного аудиту.

    Запустити OSINT-розвідку компанії →

    Теги: #NVD, #CISA KEV, #EPSS, #Vulnerabilities, #CVE, #Threat Intelligence

    Схожі статті

    Повернутися до блогу | Panoptic