Ghid RBVM

Management bazat pe risc
al vulnerabilităților

Ghidul complet pentru a trece de la zgomotul vulnerabilităților la claritatea riscului de business — și de ce este acum cerut de NIS2, DORA și ISO 27001.

Ce este managementul bazat pe risc al vulnerabilităților?

Managementul bazat pe risc al vulnerabilităților (RBVM) este o abordare disciplinată pentru a stabili ce vulnerabilități trebuie reparate prima dată — pe baza riscului real pe care îl reprezintă pentru afacere, nu doar a severității lor tehnice brute.

Programele tradiționale de management al vulnerabilităților generează mii de descoperiri în fiecare lună. Când totul este clasat după scoruri brute de severitate precum CVSS, aproape totul pare critic. Echipele de securitate sunt copleșite, se instalează oboseala patch-urilor, iar vulnerabilitățile cu adevărat periculoase sunt îngropate.

Centraleyezer adoptă o abordare diferită. În loc să se bazeze pe semnale generice, la nivel de internet, precum CVSS sau EPSS, scorează fiecare descoperire folosind DREAD, criticitatea activului pentru afacere, expunerea în rețea a activului, exploatabilitatea, semnalele CTI și o buclă de feedback Om-AI care învață din rapiditatea cu care proprietarul activului răspunde efectiv la descoperiri. Rezultatul este o listă clasată în care primii 10% dintre descoperiri reprezintă peste 80% din riscul real — bazat pe mediul tău, nu pe media internetului.

VM tradițional vs. VM bazat pe risc

VM tradițional

  • Clasează doar după severitatea brută (ex. CVSS)
  • Mii de descoperiri „critice”
  • Niciun context de business sau operațional aplicat
  • Echipele copleșite, nimic nu se repară
  • Dovezi de conformitate manuale și fragmentate
  • Inventar de active adesea învechit sau incomplet

VM bazat pe risc (RBVM)

  • Scor de risc contextual: DREAD + criticitatea activului + expunerea în rețea + exploatabilitatea + CTI + feedback Om-AI
  • Primii 10% dintre descoperiri generează peste 80% din risc
  • Context de business și operațional integrat în scoring
  • Coadă de remediere prioritizată clar
  • Colectare automată a dovezilor de conformitate
  • Descoperire continuă a activelor și scor de criticitate

Cum funcționează scoringul contextual de risc al Centraleyezer

Centraleyezer calculează un scor de risc contextual pentru fiecare vulnerabilitate combinând șase factori care descriu descoperirea, activul pe care se află, peisajul amenințărilor și oamenii responsabili de remediere:

Notă: CVSS, EPSS și CISA KEV nu sunt folosite în mod deliberat ca intrări pentru scor — ele descriu severitatea sau probabilitatea de exploatare la nivelul întregului internet, nu riscul real pentru mediul tău specific. Datele CVE/CWE sunt totuși ingerate pentru trasabilitate și raportare.

Scor DREAD

Damage, Reproducibility, Exploitability, Affected users, Discoverability — un scor structurat de modelare a amenințărilor care surprinde severitatea inerentă a descoperirii într-un mod care reflectă comportamentul real al atacatorului.

Criticitatea activului

Importanța de business a activului afectat — setată per activ, de la scăzută la critică. Aceeași descoperire pe un host de procesare a plăților obține un scor mai mare decât pe un sandbox de dezvoltare.

Expunere în rețea

Unde se află activul în rețea — expus pe internet, DMZ, intern sau complet izolat. Un activ expus crește riscul fiecărei descoperiri pe care o poartă.

Exploatabilitate

Cât de practic este pentru un atacator să transforme efectiv descoperirea în armă, ținând cont de configurația activului tău — nu o probabilitate generică pe întregul internet.

Semnale CTI

Inteligență privind amenințările cibernetice despre descoperire și tehnologia activului — campanii active relevante, actori amenințători și context de țintire preluate din feed-uri CTI.

Buclă de reacție Om-AI

Centraleyezer învață din modul în care proprietarul activului răspunde efectiv: timp de confirmare, timp de remediere și modele de acceptare a riscului. Proprietarii care răspund lent cresc riscul operațional al activelor lor; cei care răspund rapid îl scad.

RBVM este acum o cerință de reglementare

Reglementările europene au făcut managementul structurat al vulnerabilităților obligatoriu pentru multe organizații. Iată ce cere fiecare cadru:

NIS2

Articolul 21 impune „gestionarea și divulgarea vulnerabilităților” drept una dintre cele 10 măsuri minime de securitate. Organizațiile trebuie să aibă un proces documentat, bazat pe risc.

Cum îl acoperim →
DORA

Articolul 9 cere „managementul riscului ICT”, inclusiv scanare de vulnerabilități, evaluare de risc și procese documentate de remediere cu SLA-uri pentru entitățile financiare.

Cum îl acoperim →
ISO 27001

Controlul A.8.8 din Anexa A (Managementul vulnerabilităților tehnice) cere o abordare sistematică pentru identificarea și remedierea slăbiciunilor.

Cum îl acoperim →
PCI-DSS v4

Cerința 6 impune patch-uri în timp util pentru vulnerabilități, cu SLA-uri specifice pentru descoperirile critice (o lună) și ridicate (trei luni).

Cum îl acoperim →

Întrebări frecvente

Ce este managementul bazat pe risc al vulnerabilităților (RBVM)?

RBVM este o abordare a managementului vulnerabilităților care prioritizează eforturile de remediere pe baza riscului real de business pe care îl reprezintă fiecare vulnerabilitate — în loc să trateze fiecare CVE cu aceeași urgență. Centraleyezer combină scoringul DREAD, criticitatea activului, expunerea în rețea, exploatabilitatea, semnalele CTI și o buclă de feedback Om-AI care adaptează riscul în funcție de timpul de reacție al proprietarului activului, producând un scor contextual de risc per descoperire.

Prin ce diferă RBVM de managementul tradițional al vulnerabilităților?

VM tradițional clasează vulnerabilitățile după severitatea brută (de obicei CVSS), ceea ce duce la mii de descoperiri „critice” care copleșesc echipele de securitate. RBVM adaugă context de business și operațional: cât de critic este acest activ? Este expus pe internet sau izolat? A răspuns proprietarul rapid sau lent la descoperiri similare? Acest lucru restrânge lista la vulnerabilitățile care îți amenință cu adevărat afacerea.

Folosește Centraleyezer CVSS, EPSS sau CISA KEV în scoringul de risc?

Nu. Scorul contextual de risc al Centraleyezer este construit din DREAD, criticitatea activului, expunerea în rețea, exploatabilitatea, semnalele CTI (cyber threat intelligence) și o buclă de feedback Om-AI. CVSS, EPSS și feed-urile de exploatare activă (precum CISA KEV) nu sunt folosite în mod deliberat ca intrări pentru scor — reflectă severitate tehnică generică sau probabilitate de exploatare pe întregul internet, nu riscul real pentru mediul tău. Datele CVE/CWE sunt totuși ingerate pentru trasabilitate, dar prioritizarea vine din modelul contextual.

Ajută RBVM la conformitatea NIS2?

Da. Articolul 21 din NIS2 cere explicit organizațiilor să implementeze „gestionarea și divulgarea vulnerabilităților” ca măsură tehnică de securitate. O abordare bazată pe risc demonstrează că ai un proces structurat, documentat, pentru identificarea, prioritizarea și remedierea vulnerabilităților — exact ce caută auditorii NIS2.

Ce este componenta „Om-AI” din scoringul Centraleyezer?

Scorurile de risc nu sunt statice. Centraleyezer învață din modul în care fiecare proprietar de activ reacționează efectiv: cât de repede sunt confirmate, remediate sau acceptate descoperirile pe activele sale. Un activ deținut de o echipă care răspunde lent este tratat ca având un risc operațional mai mare decât același activ deținut de o echipă rapidă — chiar și atunci când vulnerabilitatea de bază este identică. Acest lucru oferă liderilor de securitate o imagine mai realistă asupra locului în care se află cu adevărat riscul în organizație.

Cât de repede putem implementa RBVM?

Cu Centraleyezer, poți conecta scanerele tale existente de vulnerabilități, importa inventarul de active și vedea descoperiri prioritizate după risc în câteva ore. Nu este necesar să înlocuiești instrumentele existente.

Este RBVM potrivit pentru echipele mici de securitate?

Cu atât mai mult. Echipele mici nu pot acționa asupra fiecărei vulnerabilități — RBVM le spune exact care 5–10% dintre descoperiri reprezintă peste 80% din riscul lor real, făcând resursele limitate dramatic mai eficiente.

Gata să implementezi RBVM?

Programează un demo personalizat și vezi cum se mapează Centraleyezer pe cerințele tale specifice de conformitate.

What is Risk-Based Vulnerability Management (RBVM)? | Centraleyezer