Время идёт, а я, признаться, всё также продолжаю впадать в ступор, когда вижу термин "Exposure" в около-VM-ном контексте - пора с этим что-то делать! 🤔 От наших регуляторов определённой позиции не видно. В связи с этим я решил, что в своих блогопостах буду пока просто калькировать это безобразие.

🔹 Exposure - Экспозиция
🔹 Exposures - Экспозиции
🔹 Cyber Exposure - Киберэкспозиция
🔹 Exposure Management - Управление Экспозициями (во множественном числе по аналогии с Vulnerability Management - Управление Уязвимостями)
🔹 exposed - экспозированный
🔹 to expose - экспозировать

̶П̶о̶к̶а̶ ̶н̶е̶ ̶б̶у̶д̶е̶т̶ ̶к̶а̶к̶о̶г̶о̶-̶т̶о̶ ̶а̶д̶е̶к̶в̶а̶т̶н̶о̶г̶о̶ ̶о̶ф̶и̶ц̶и̶а̶л̶ь̶н̶о̶г̶о̶ ̶о̶п̶р̶е̶д̶е̶л̶е̶н̶и̶я̶,̶ ̶б̶у̶д̶у̶ ̶п̶о̶н̶и̶м̶а̶т̶ь̶ ̶п̶о̶д̶ ̶(̶к̶и̶б̶е̶р̶)̶э̶к̶с̶п̶о̶з̶и̶ц̶и̶е̶й̶ ̶"̶п̶о̶д̶в̶е̶р̶ж̶е̶н̶н̶о̶с̶т̶ь̶ ̶в̶н̶е̶ш̶н̶е̶м̶у̶ ̶(̶к̶и̶б̶е̶р̶)̶в̶о̶з̶д̶е̶й̶с̶т̶в̶и̶ю̶"̶.̶ ̶

Upd. 06.09.2025 Сформулировал определение

Это более-менее бьётся с глоссарием NIST:
"Extent to which an organization and/or stakeholder is subject to a risk."
"Степень, в которой организация и/или стейкхолдер подвержены риску." 🤷‍♂️

Пример экспозиции: Windows-хост уязвимый к MS17-010 доступен из Интернет по SMB порту, поэтому любой удалённый злоумышленник может его тривиально поломать.

Если же мы отключим этот хост от сети, то уязвимость на нём всё равно будет, но экспозиции при этом уже не будет. В этом вижу разницу. 🧙‍♂️

При всём этом я считаю, следующее:

🔻 Всяческого порицания достоин тот буржуй, который придумал тащить в ИБ такое туманное и многозначное слово как "exposure". 🔮 Имхо, единственная причина почему его так часто сейчас используют, потому что "Exposure Management" это круто-модно-молодежно, а "Vulnerability Management" это что-то привычное и неинтересное. Тухлый креатив маркетолухов, которые не могут сделать стоящую вещь, поэтому играются со словами. 😤 Но у них там на западе своя атмосфера и вряд ли мы можем как-то повлиять на это. У виска покрутить разве что. 🤪
🔻 Переводить "Exposure Management" как "Управление Рисками" в общем случае считаю неправильным, т.к. непонятно что тогда такое "Risk Management". 😏 Это уже какой-то анекдот про кота и кита. Нет уж, давайте "риск" это будет "risk", а для "exposure" будем использовать что-то другое.
🔻 Раз уж термин продолжает использоваться, то давайте переводить подобное в подобное, а не пытаться додумывать, что конкретно имел ввиду автор текста в каждом случае. Дело это неблагодарное.
🔻 В оригинальных (непереводных) текстах лучше обходиться без всяких там экспозиций, а писать в конкретных терминах. Ну или наоборот вводить это дело в активный обиход и обмазываться по полной. 😅🌝

Дальше как раз посмотрим свеженький документ, в котором сплошной ехал exposure через exposure.