Нужно ли учитывать данные из даркнета при приоритизации устранения уязвимостей? Конечно. Если видите объявление о продаже эксплоита для уязвимости или рекламу, что какая-то малварь эксплуатирует новую уязвимость, то грех не поднять этой уязвимости приоритет. Лучше ошибиться и устранить неэксплуатабельное, чем дождаться атак в собственной инфре.
Но нужно ли устранять только то, что засветилось в даркнете? Разумеется нет. Хотя бы потому, что даркнет велик и наиболее ценная инфа может долго не выходить за пределы закрытых форумов и площадок. А доступ туда либо просто платный (вопрос +- решаемый для компании, занимающейся разведкой), либо ещё требует определенной репутации в киберпреступном сообществе. 🦹♂️ Поэтому то, что выходит в паблик - лишь малая часть того, что есть на самом деле. Это как в замочную скважину подсматривать. Видно, но не всё. 😉
Поэтому анализ даркнета не снимает необходимости устранять ВСЕ уязвимости в соответствии с разумными приоритетами.
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.