CVE-2021-44228 (Log4Shell) פורסמה ב-9 בדצמבר 2021. ב-10 בדצמבר כבר היו Exploits פועלים ב-Wild. חברות שתיקנו תוך 24 שעות – ניצלו. חברות שחיכו שבועות – נפגעו. הפרק הזמן בין גילוי לניצול (Exploit Window) נסגר בכל שנה. היום, עבור פגיעויות קריטיות, חלון ההגנה הוא שעות – לא ימים.
מסגרת SLA לפי חומרה
- 1Critical (CVSS 9.0-10.0) + In-the-Wild Exploit: פחות מ-24 שעות לתיקון
- 2Critical (CVSS 9.0-10.0) ללא Exploit: 72 שעות
- 3High (CVSS 7.0-8.9): 7 ימים לנכסים קריטיים, 14 ימים לאחרים
- 4Medium (CVSS 4.0-6.9): 30 ימים
- 5Low (CVSS 0-3.9): Quarterly Patch Cycle
CVSS לבדו אינו מספיק
CVE עם CVSS 7.5 שיש לו Exploit Kit פומבי מסוכן פי 10 מ-CVE עם CVSS 9.8 ללא Proof of Concept. השתמשו ב-CVSS + EPSS (Exploit Prediction Scoring System) לתיעדוף.
אתגרי יישום ופתרונות
- Patch Testing: Staging Environment שמשקף Production. Patching ב-Canary Deployment.
- Legacy Systems: מערכות שלא ניתן לעדכן – Compensating Controls: Network Isolation, WAF, IDS.
- Third-Party Components: SCA Tools (Snyk, Dependabot) שמתריעים על CVEs בספריות.
- Patch Tuesday Chaos: אוטומציה עם Ansible, SCCM, Intune. אל תנהלו Patching ידנית.
KPIs לניהול פגיעויות
- Mean Time to Remediate (MTTR) לפי חומרה – מדוד חודשי
- Patch Coverage Rate – % מהנכסים ב-SLA. יעד: 95%+
- Vulnerability Aging – כמה פגיעויות פתוחות מעל ה-SLA?
- Patching Exceptions – כמה וכמה זמן?
הכלי החינמי הכי שימושי: CISA KEV (Known Exploited Vulnerabilities) – רשימת CVEs שכבר מנוצלים בפועל. כל CVE ב-KEV = SLA קריטי, ללא קשר לציון CVSS. הירשמו לעדכונים: cisa.gov/kev
Patch ManagementVulnerability ManagementCVECVSSSLA