Glosar

Glosar RBVM

Definiții clare ale termenilor de management al vulnerabilităților, modelare a amenințărilor și reglementare cibernetică UE folosiți pe acest site și în platforma Centraleyezer.

  • Management al vulnerabilităților bazat pe risc (RBVM)

    O abordare a managementului vulnerabilităților care prioritizează remedierea în funcție de riscul real pentru afacere pe care îl reprezintă fiecare descoperire, în loc de severitatea brută. RBVM combină atributele tehnice ale vulnerabilității cu activul afectat, rețeaua înconjurătoare, peisajul amenințărilor și echipa care îl va remedia.

    Vezi și: De ce RBVM · Platformă

  • Scor contextual de risc

    Scorul Centraleyezer per descoperire, care combină șase factori: DREAD, criticitatea activului, expunerea în rețea, exploatabilitatea în mediul activului, semnalele CTI și o buclă de reacție Om-AI. Spre deosebire de CVSS, descrie riscul în mediul tău, nu în abstract.

    Vezi și: De ce RBVM

  • DREAD

    Un scor structurat de severitate pentru modelarea amenințărilor pe cinci dimensiuni — Damage (pagubă), Reproducibility (reproductibilitate), Exploitability (exploatabilitate), Affected users (utilizatori afectați), Discoverability (descoperibilitate). Centraleyezer folosește DREAD ca factor de severitate intrinsecă în scorul său contextual de risc.

  • Criticitate a activului

    Importanța de business a unui activ (scăzută, moderată, importantă, critică) — setată per activ de către cei care îl dețin. Aceeași vulnerabilitate pe un gateway de plăți primește un scor mai mare decât pe un sandbox de developer, pentru că criticitatea activului diferă.

  • Expunere în rețea

    Unde se află un activ în rețea — expus la internet, DMZ, intern sau complet izolat. Expunerea ridică riscul fiecărei descoperiri pe care activul o poartă, deoarece determină dacă atacatorii pot ajunge la el.

  • Exploatabilitate (în mediul tău)

    Cât de practic ar fi să transformi o descoperire în armă date fiind configurația reală, versiunea și controalele compensatorii ale activului — distinct de metricile generice de probabilitate de exploatare la scara internetului, precum EPSS.

  • CTI — Inteligență a amenințărilor cibernetice

    Inteligență externă despre descoperire și stack-ul tehnologic: campanii active relevante, actori ai amenințării și discuții despre exploatare din feed-uri adaptate la ce contează pentru organizația ta. Semnalele CTI urcă sau coboară riscul contextual în funcție de ce fac atacatorii chiar acum.

  • Buclă de reacție Om-AI

    Un factor unic în scoringul contextual al Centraleyezer: platforma învață din modul în care fiecare proprietar de activ răspunde efectiv la descoperiri (timp de confirmare, timp de remediere, modele de acceptare a riscului). Proprietarii care răspund lent ridică riscul operațional al activelor lor; cei care răspund rapid îl coboară.

  • Inventar de active

    Registrul de referință al fiecărui activ pe care Centraleyezer îl monitorizează — IP-uri, site-uri, aplicații, active personalizate — cu evaluări de criticitate, proprietari și control acces pe grupuri. Punctul de pornire al oricărui program de vulnerabilități defensibil în audit.

  • CVSS — Common Vulnerability Scoring System

    Un scor industrial standard 0–10 pentru severitatea tehnică a unui CVE în abstract. Centraleyezer ingerează datele CVSS pentru trasabilitate și raportare, dar nu le folosește ca intrare pentru scor — CVSS descrie vulnerabilitatea, nu riscul în mediul tău.

  • EPSS — Exploit Prediction Scoring System

    Un scor de probabilitate FIRST.org (0.0–1.0) care estimează probabilitatea ca un CVE să fie exploatat în sălbăticie în următoarele 30 de zile. Util pentru triajul la scara industriei; Centraleyezer nu îl folosește ca intrare pentru scor pentru că este la scara internetului, nu specific mediului.

  • CISA KEV — Known Exploited Vulnerabilities

    Un catalog menținut de US Cybersecurity and Infrastructure Security Agency care listează CVE-uri confirmate ca fiind exploatate în sălbăticie. Centraleyezer ingerează statutul KEV ca metadată, dar nu îl folosește ca intrare pentru scor — KEV nu descrie dacă activul în cauză este expus sau exploatabil în mediul tău.

  • Directiva NIS2

    Directiva UE 2022/2555 privind securitatea rețelelor și sistemelor informaționale. Articolul 21(2)(m) cere explicit gestionarea structurată a vulnerabilităților și divulgarea ca una dintre cele zece măsuri minime de securitate pentru entitățile esențiale și importante.

    Vezi și: Pagina NIS2

  • DORA — Digital Operational Resilience Act

    Regulamentul UE 2022/2554, aplicabil din ianuarie 2025, care guvernează managementul riscului ICT pentru entitățile financiare. Articolul 9(4)(b) impune politici documentate de management al vulnerabilităților și patch-urilor, cu prioritizare bazată pe risc.

    Vezi și: Pagina DORA

  • ISO 27001 — Anexa A.8.8

    Controlul ISO 27001:2022 privind managementul vulnerabilităților tehnice. Unul dintre cele mai constant auditate controale din Anexa A; auditurile de certificare eșantionează înregistrări end-to-end pentru a verifica eficacitatea operațională.

    Vezi și: Pagina ISO 27001

  • PCI-DSS — Cerința 6

    Cerința PCI-DSS v4.0 care acoperă securitatea software-ului personalizat, managementul vulnerabilităților și SLA-urile de patching (critic: 1 lună; ridicat: 3 luni) pentru mediul datelor titularilor de card.

    Vezi și: Pagina PCI-DSS

  • CRA — EU Cyber Resilience Act

    Regulament UE care impune cerințe de securitate cibernetică produselor cu elemente digitale pe parcursul ciclului de viață, inclusiv urmărirea vulnerabilităților, divulgarea, notificarea ENISA în 24/72 de ore și obligațiile SBOM.

    Vezi și: Pagina CRA

  • UAE IAS — Information Assurance Standards

    Cadrul fundamental național de securitate cibernetică al EAU, emis de Signals Intelligence Agency (anterior NESA), aplicabil entităților federale și operatorilor de Critical Information Infrastructure. Include evaluarea obligatorie a vulnerabilităților (T7.5), testarea de penetrare și managementul patch-urilor (T7.4).

    Vezi și: Pagina UAE IAS

  • CBUAE — Banca Centrală a EAU

    Reglementatorul bancar al EAU. Reglementările sale obligatorii de securitate cibernetică pentru băncile licențiate, casele de schimb, companiile financiare și furnizorii de servicii de plată cer explicit managementul vulnerabilităților și amenințărilor, testarea anuală / declanșată de evenimente de penetrare și raportarea cyber-risc la nivel de board.

    Vezi și: Pagina CBUAE

  • MSSP — Managed Security Service Provider

    Un furnizor de servicii care gestionează managementul vulnerabilităților (și alte funcții de securitate) în numele mai multor organizații client. Ediția MSSP a Centraleyezer oferă multi-tenancy real cu izolare per client și un API revânzător pentru automatizarea licențelor/deployment-urilor.

    Vezi și: Parteneri · Prețuri — MSSP

  • SLA — Service Level Agreement

    În managementul vulnerabilităților, intervalele de timp documentate în care descoperirile fiecărei severități trebuie remediate. Centraleyezer aplică SLA-uri pe nivel de severitate cu escaladare automată când SLA-urile se apropie.

  • Acceptarea riscului

    Un înregistrare formală că o descoperire nu va fi remediată în SLA, cu motiv documentat, aprobator numit, controale compensatorii și dată de revizuire. Necesar pentru defensibilitatea în audit ISO 27001 și NIS2.

  • CVE — Common Vulnerabilities and Exposures

    Un identificator standardizat pentru o vulnerabilitate publică specifică (de ex. CVE-2024-3094). Centraleyezer ingerează datele CVE împreună cu corelarea CWE/OWASP pentru trasabilitatea completă a fiecărei descoperiri.

  • Auto-găzduit vs SaaS

    Centraleyezer oferă ambele: SaaS (plafonat la 10 GB per deployment pentru bază de date și fișiere combinate) și Enterprise / MSSP auto-găzduite (container Docker, rulează în propriul tău cloud sau on-prem; capabile de air-gap).

    Vezi și: Prețuri

  • CVSS vs EPSS

    Două scoruri complementare adesea confundate. CVSS evaluează severitatea tehnică a unui CVE în mod abstract (0–10). EPSS estimează probabilitatea ca un CVE să fie exploatat în natură în 30 de zile (0,0–1,0). Ambele descriu vulnerabilitatea la scara internetului — nu în mediul tău. Niciunul nu este suficient pentru prioritizare de unul singur.

    Vezi și: De ce CVSS nu este suficient

  • Scanare vs management al vulnerabilităților

    Scanarea este pasul de descoperire — Nessus, Qualys, Tenable, Rapid7, OpenVAS, Burp etc. produc o listă de descoperiri. Managementul vulnerabilităților este tot ce urmează: deduplicare, scoring contextual, atribuirea unui responsabil, SLA-uri de remediere, acceptare a riscului și dovezi de audit. Centraleyezer este stratul de management de deasupra scanerelor tale.

    Vezi și: De ce RBVM · Platforma

  • Alternative Tenable

    Echipele care caută o alternativă la Tenable doresc de obicei fie un strat RBVM real deasupra scanerelor (Centraleyezer), fie un alt scaner (Qualys, Rapid7, OpenVAS). Centraleyezer ingerează ieșirea Tenable.io și Tenable.sc și adaugă scoring contextual, dovezi NIS2/DORA și multi-tenancy MSSP pe care stiva Tenable nu le oferă nativ.

    Vezi și: De ce Centraleyezer · Platforma

  • Alternative Qualys

    Qualys VMDR este o platformă scaner-și-active solidă, dar amestecă scanare, scoring și raportare într-un singur SaaS. Echipele care doresc să își păstreze mixul existent de scanere și să adauge un strat de scoring contextual și dovezi de conformitate folosesc Centraleyezer, care ingerează nativ Qualys VMDR.

    Vezi și: De ce Centraleyezer

  • Alternative Rapid7

    Rapid7 InsightVM oferă propriul scor de risc (Real Risk), dar rămâne intern scanerului — bazat pe atributele de active și CVE colectate de Rapid7, nu pe modelele de răspuns ale echipei tale sau pe expunerea reală a rețelei. Centraleyezer ingerează InsightVM și recalculează scorul folosind DREAD, criticitatea activului, expunerea în rețea, exploatabilitatea, CTI și o buclă Om-IA.

    Vezi și: De ce Centraleyezer

  • Prioritizare bazată pe expunere

    O abordare de prioritizare care ponderează fiecare descoperire în funcție de cât de accesibil este efectiv activul afectat — expus pe internet, DMZ, intern, izolat. Expunerea este unul dintre cei șase factori din scorul contextual de risc al Centraleyezer; singură este necesară, dar nu suficientă.

    Vezi și: De ce RBVM

  • Patch management vs management al vulnerabilităților

    Patch managementul este practica operațională de a aplica actualizări furnizate de vendor pe un parc (WSUS, Red Hat Satellite, Ivanti, Intune). Managementul vulnerabilităților este disciplina mai largă care decide ce patch-uri contează cel mai mult în funcție de risc, urmărește controalele compensatorii și produce dovezi de audit. Patch managementul este unul — important — dintre instrumentele de remediere dintr-un program de management al vulnerabilităților.

    Vezi și: Platforma

  • MTTR / MTTD

    Mean Time To Remediate (MTTR) și Mean Time To Detect (MTTD) — indicatorii operaționali principali ai unui program de management al vulnerabilităților. Centraleyezer măsoară ambele pe echipă și pe activ și reintroduce datele în scorul contextual de risc (descoperirile unei echipe care remediază lent sunt operațional mai riscante decât cele ale unei echipe rapide, la același scor CVSS).

  • Scaner vs platformă RBVM

    Un scaner găsește vulnerabilități; o platformă RBVM decide care contează. Cele două sunt complementare, nu concurente. Centraleyezer este o platformă RBVM care ingerează ieșirea de la peste 16 scanere (Nessus, Tenable, Qualys, Rapid7, Burp, Acunetix, Trivy, Wazuh, AWS Inspector, OpenVAS și altele) și adaugă scoring contextual, dovezi de conformitate și urmărirea remedierii.

    Vezi și: De ce Centraleyezer · Platforma

Glossary — Risk-Based Vulnerability Management Terms | Centraleyezer