Про CVE_Prioritizer и Vul­ris­tics. Несколько раз за последние месяцы натыкался на посты про CVE_Prioritizer. Но сегодня появился повод прокомментировать.

"CVE_Prioritizer is a pow­er­ful tool that helps you pri­or­i­tize vul­ner­a­bil­i­ty patch­ing by com­bin­ing CVSS, EPSS, and CISA's Known Exploit­ed Vul­ner­a­bil­i­ties. It pro­vides valu­able insights into the like­li­hood of exploita­tion and the poten­tial impact of vul­ner­a­bil­i­ties on your infor­ma­tion sys­tem."

Прикольная утилита, но, имхо, мой Vul­ris­tics приоритизирует покруче. 🙂 Он учитывает не только CVSS, EPSS и CISA KEV, но и тип уязвимости, распространенность софта, информацию об эксплоитах (из многих паков на Vul­ners) и атаках из Attack­er­sKB.

И CVE_Prioritizer, и Vul­ris­tics для каждой уязвимости в динамике выполняют запросы к внешним источникам. Только у CVE_Prioritizer таких источников только 2 и поэтому он отрабатывает быстрее. Кроме того, Vul­ris­tics каждый раз в динамике определяет наименование софта и тип уязвимости по описанию. Это медленная операция. А в случае использования Vul­ners в качестве источника, всё это ещё и стоит денег 💸 (хотя лично мне не стоит, т.к. у меня ресерчерская лицензия — спасибо ребятам из Vul­ners!❤️). Так что с помощью Vul­ris­tics достаточно удобно оценивать 100–200 уязвимостей за раз (как в MS Patch Tues­day), а оценивать больше не особо рационально. 🙁

Что с этим можно сделать? Если заранее формировать полный (и желательно бесплатный/общедоступный 😉) фид по всем уязвимостям, чтобы Vul­ris­tics строил отчёт по готовым данным, это было бы гораздо быстрее и эффективнее. В этом случае можно было бы приоритизировать уязвимости хоть для всей инфраструктуры разом. У меня есть в некоторых долгосрочных планах этим заняться. Кто хочет поучаствовать — всегда wel­come! 🙂