Как выбрать рабочую базу уязвимостей: критерии качества и чек-лист
Главная » Практика » Способы
SECURITM — система управления информационной безопасностьюSECURITM — система управления информационной безопасностью. Сократите расходы, автоматизируйте проверку соответствия требованиям и сведите подготовку к аудиту до 2 дней. Единая система для рисков, уязвимостей, активов и комплаенса с AI-ассистентом, конструктором документов, ГОСТ 57580, КИИ, ПДн, ГИС и поддержкой других регуляторных документов.→ Ознакомиться
Реклама. ООО «СЕКЪЮРИТМ». ИНН 7820074059, 16+
26 Сентября 2025 - 17:14

Как отличить качественную базу уязвимостей от справочника CVE

Аватар пользователя Николай Рягин
Николай Рягин
Руководитель управления исследований и аналитики R-Vision
Вверх
Проголосовало: 4
...
Как отличить качественную базу уязвимостей от справочника CVE

Эксперты компании R-Vision рассказали нам, какие критерии помогают отличить рабочую базу уязвимостей от формального справочника и какие источники данных действительно повышают её ценность, а также составили практический чек-лист для оценки качества базы. Делимся инсайтами от спецов.

 

 

 

 

 

 

  1. Введение
  2. Правильная база уязвимостей: критерии оценки
    1. 2.1. Широкий и релевантный охват
    2. 2.2. Почему обновления должны быть ежедневными
    3. 2.3. Больше источников — меньше сюрпризов в сканировании
    4. 2.4. Экспертная верификация: почему «машина» не справится одна
    5. 2.5. Тестирование на стендах: почему это важно
    6. 2.6. Прозрачная логика и стандартизированные проверки
    7. 2.7. Ложноположительные и ложноотрицательные: борьба с неизбежным
    8. 2.8. Гибкость: адаптация под заказчика
    9. 2.9. Рекомендации по устранению уязвимостей
  3. Чек-лист от R-Vision: на что обратить внимание при оценке базы уязвимостей
  4. Выводы

Введение

В кибербезопасности цифры часто создают иллюзию надёжности: тысячи и десятки тысяч записей в базе уязвимостей кажутся гарантией защиты. Но реальность куда сложнее. Ложные срабатывания перегружают команду ИБ, а пропущенные уязвимости остаются незамеченными и открывают злоумышленникам путь в инфраструктуру. Чтобы система управления уязвимостями действительно работала, база должна быть не просто большой, а умной: актуальной, проверенной и адаптивной.

Важно помнить, что база уязвимостей — это не просто список записей из какого-нибудь источника — даже очень авторитетного, вроде государственной БД США (NVD), — а динамическая система, которая живёт по своим стандартам и правилам. Её ценность измеряется скоростью реакции, глубиной охвата технологий и качеством выявления уязвимостей.

Давайте поймём, как оценивать базу и как понять, будет ли от неё толк.

Правильная база уязвимостей: критерии оценки

По мнению экспертов R-Vision, в первую очередь нужно обратить внимание на охват, частоту обновлений и полноту источниковой базы. Также важны верификация и тестирование. Хорошо, когда стандартизация сочетается с гибкостью, а сама база не только перечисляет бреши, но и обогащает их экспертизой по устранению уязвимостей.

Широкий и релевантный охват

Современные корпоративные инфраструктуры включают десятки и сотни компонентов: от рабочих станций и серверов до специализированных СУБД, промышленного оборудования, приложений для документооборота и отечественных систем ресурсного планирования (ERP).

Если база не содержит проверок для хотя бы части из этих технологий, отчёты сканирования будут неполными, а уязвимости останутся невыявленными. Именно поэтому при формировании базы важно учитывать не только популярные в мире технологии, но и локальные решения, которые часто не входят в «топ» мировых рейтингов.

Почему обновления должны быть ежедневными

Скорость появления новых уязвимостей сегодня рекордная. По данным NVD (National Vulnerability Database), только за 2024 год было зарегистрировано почти 40 тысяч CVE-записей, и эта цифра ежегодно растёт.

Но наличие записи в NVD не означает, что уязвимость сразу попадает в вашу систему управления уязвимостями. Между публикацией CVE и появлением проверки в конкретной базе может пройти время — иногда дни или недели. Именно этот промежуток и становится окном, в которое злоумышленники могут успеть провести атаку.

Поэтому для качественной базы важно:

  • получать обновления хотя бы раз в сутки;
  • не ограничиваться NVD как единственным источником;
  • уметь самостоятельно формировать логику выявления уязвимостей на основе других данных, не дожидаясь официальной регистрации в CVE.

Больше источников — меньше сюрпризов в сканировании

NVD — безусловно, крупнейший и самый известный источник данных об уязвимостях. Но он имеет свои ограничения и содержит немало ошибок.

Так, информация часто поступает туда с задержкой, что создаёт дополнительные риски пропусков уязвимостей. При этом не все бреши, особенно в нишевых или региональных продуктах, туда попадают. Кроме того, описания там часто обобщённые и неполные, из-за чего проверки оказываются неточными и требуют доработки, что создаёт риски ложноположительных срабатываний.

Поэтому надёжная база уязвимостей помимо данных NVD должна собирать данные из десятков, а лучше — сотен источников, среди которых могут быть:

  • официальные фиды вендоров, которые содержат точные данные о патчах и версиях (но даже они могут содержать в себе ошибки и требовать точной верификации);
  • отчёты исследователей и закрытые аналитические материалы;
  • открытые базы уязвимостей, например БДУ ФСТЭК России;
  • информация об эксплойтах, которая часто появляется в публичном доступе ещё до массового применения. 

Чем шире пул источников, тем выше вероятность, что информация о критической уязвимости попадёт в базу ещё до её массового использования в атаках.

Экспертная верификация: почему «машина» не справится одна

Автоматическая обработка данных необходима, когда речь идёт о тысячах новых уязвимостей в месяц. Но без ручной проверки экспертами неизбежно растёт риск ложных срабатываний — только специалисты могут уточнить условия эксплуатации, проверить корректность логики и отсеять устаревшие правила.

Экспертная верификация включает в себя:

  • разработку логики обнаружения и проверку её корректности;
  • тестирование на разных версиях и сборках ОС / ПО;
  • уточнение условий эксплуатации (локально, удалённо, с привилегиями или без), а также с учётом специфики легаси-систем, где сценарии эксплуатации могут отличаться;
  • исключение устаревших проверок, которые могут вызывать ложноположительные срабатывания.

По опыту R-Vision, данные из внешних источников редко попадают в «боевую» базу в исходном виде: большинство источников требует индивидуальной проработки и уточнений.

Тестирование на стендах: почему это важно

Перед включением нового источника в «боевую» базу он должен проходить тестирование на лабораторных стендах, где эмулируются десятки типов ОС, версий приложений и конфигураций. При этом важно, чтобы обновления как можно быстрее попали к пользователям. Такой подход позволяет: 

  • выявить конфликты с нестандартными конфигурациями;
  • отследить ложные срабатывания как на «чистых» системах, так и при воспроизведении ИТ-инфраструктуры заказчика;
  • проверить совместимость с различными версиями патчей.

Без тестирования на стендах можно получить ситуацию, когда проверка «в теории» работает, но в реальной инфраструктуре либо не находит уязвимость, либо выдаёт множество ложных срабатываний. 

Прозрачная логика и стандартизированные проверки

Использование формализованных описаний проверок (например, в формате OVAL) помогает задать правила поиска уязвимостей так, чтобы они были прозрачными и понятными не только машине, но и специалисту. Такой подход удобен тем, что:

  • правила можно разобрать и проверить вручную, а не воспринимать как «чёрный ящик»;
  • такой формат поддерживает большинство вендоров, что упрощает обмен данными;
  • при необходимости можно быстро написать собственные проверки и добавить их в базу.

Когда логика проверок открыта и структурирована, это облегчает совместную работу команд ИБ и ИТ и повышает доверие к результатам сканирования.

Ложноположительные и ложноотрицательные: борьба с неизбежным

В любой, даже самой качественной базе будут:

  • ложноположительные срабатывания (False Positive, FP) — уязвимость отображается, хотя она уже устранена или никогда не существовала в конкретной системе;
  • ложноотрицательные срабатывания (False Negative, FN) — уязвимость есть, но сканер её не находит.

Ключевой показатель качества базы — скорость реакции на такие случаи. Если для исправления FP / FN требуется неделя и больше, это снижает ценность всей системы. При гибком подходе исправление или новый детект можно доставить в течение 24 часов.

При этом важно помнить: у всех сканеров и систем управления уязвимостями (VM) так или иначе есть «фолзы». Настоящее качество сканирования проявляется не в их отсутствии, а в том, насколько быстро они выявляются, исправляются и превращаются в доработанные проверки. 

Гибкость: адаптация под заказчика

Даже самая полная база уязвимостей не может охватить абсолютно все продукты и их версии. В крупных инфраструктурах часто встречаются нестандартные сборки или доработанные конфигурации стороннего ПО. Качественная база уязвимостей должна уметь «подстраиваться» под такие условия:

  • добавлять новый детект по запросу заказчика;
  • вносить изменения в существующую проверку, если она не подходит для конкретного окружения;
  • делать это быстро, без затяжных согласований.

Гибкость будет весомым аргументом в пользу отдельно взятого решения при прочих равных.

Рекомендации по устранению уязвимостей

Ценность базы повышается, когда вместе с детектом она подсказывает, что делать дальше: указывает доступные патчи, даёт ссылки на обновления от вендоров или описывает пошаговые действия для ручного исправления. Такой подход помогает инженерам быстрее сориентироваться и сократить время между выявлением уязвимости и её закрытием.

Для российских компаний также важно, чтобы такие рекомендации были на русском языке и написаны понятно. Так инженерам проще работать с ними без лишних уточнений, а командам ИБ и ИТ — действовать быстрее и более согласованно.

Чек-лист от R-Vision: на что обратить внимание при оценке базы уязвимостей

  • Покрытие технологий: охватывает ли база весь используемый стек, включая отечественные решения?
  • Частота обновлений: как быстро появляются новые детекты?
  • Источники данных: используются ли фиды вендоров, бюллетени, демонстрационные эксплойты (PoC)?
  • Верификация: проверяются ли детекты вручную?
  • Тестирование: есть ли стенды и эмуляции разных конфигураций?
  • Стандартизация: используется ли OVAL или аналогичные форматы?
  • Реакция на FP / FN: сколько времени нужно, чтобы исправить ошибку или добавить проверку?
  • Рекомендации по исправлению: указываются ли патчи и ссылки на обновления? 

Выводы

Качественная база уязвимостей — это не просто «клон» NVD, а рабочий инструмент. Её практическая полезность зависит не только от объёма данных, но и от того, насколько быстро в ней появляются новые проверки, насколько полно она охватывает используемые технологии и насколько тщательно детекты проходят проверку. Именно это превращает базу из справочника в инструмент, который действительно помогает управлять уязвимостями и защищать ИТ-инфраструктуру от атак.

Полезные ссылки: 
> ERP и киберугрозы: риски, уязвимости и последствия перехода на российское ПО
> CISA продлило финансирование CVE, для поддержки проекта создан новый фонд
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.