Нужно ли учитывать данные из даркнета при приоритизации устранения уязвимостей? Конечно. Если видите объявление о продаже эксплоита для уязвимости или рекламу, что какая-то малварь эксплуатирует новую уязвимость, то грех не поднять этой уязвимости приоритет. Лучше ошибиться и устранить неэксплуатабельное, чем дождаться атак в собственной инфре.

Но нужно ли устранять только то, что засветилось в даркнете? Разумеется нет. Хотя бы потому, что даркнет велик и наиболее ценная инфа может долго не выходить за пределы закрытых форумов и площадок. А доступ туда либо просто платный (вопрос +- решаемый для компании, занимающейся разведкой), либо ещё требует определенной репутации в киберпреступном сообществе. 🦹‍♂️ Поэтому то, что выходит в паблик - лишь малая часть того, что есть на самом деле. Это как в замочную скважину подсматривать. Видно, но не всё. 😉

Поэтому анализ даркнета не снимает необходимости устранять ВСЕ уязвимости в соответствии с разумными приоритетами.

Должен ли VM-щик быть в курсе происходящего в даркнете? Безусловно. Хотя бы в общих чертах. Иначе можно самому увериться в классическом "да кому мы нужны, чтобы нас атаковать". 😏

А реальность такова, что постоянно атакуют вообще всех. Это похоже на промысловый лов рыбы траулерами. Всё, что попало в сети, будет разобрано, оценено и выставлено на продажу. 🐟 В современном мире киберпреступности доступы в инфраструктуру организаций - это товар. 🏪 Такая же ситуация с уязвимостями, эксплоитами и готовыми малварями.

Группы злоумышленников специализируются:

🔻 одни исследуют уязвимости и пишут эксплоиты
🔻 другие встраивают их в малвари
🔻 третьи реализуют обход СЗИ
🔻 четвёртые получают первичные доступы
🔻 пятые доступы монетизируют 💰
🔻 шестые поддерживают работу торговых площадок

И насколько у всех этих ребят получится вынести вашу ООО "Ромашка", зависит от тебя, VM-щик. 😉

🟥 У PT на днях вышло большое исследование на эту тему и вебинар (доступна запись). 👍