Microsoft обновила Exposure Score в Defender: теперь важна реальная уязвимость, а не только CVSS

Что нового

Microsoft выкатила публичный превью обновлённой модели exposure score в Microsoft Defender Vulnerability Management.

Ключевые изменения:

1. Новый риск‑скор для CVE

   • Больше опоры не только на CVSS, а на многофакторный риск‑скор.
   • В расчёт входит EPSS (Exploit Prediction Scoring System) как сигнал вероятности эксплуатации.
   • Используются нормализованные данные CVE из разных источников, чтобы одинаковые уязвимости оценивались единообразно.

2. Оценка устройства по всем уязвимостям, а не только по самой «жёсткой»

   • Раньше балл устройства часто определяла одна самая критичная CVE.
   • Теперь учитываются все уязвимости на устройстве, с весами по риску и контексту актива.
   • Любая работа по исправлению уязвимостей на устройстве заметнее влияет на итоговый балл.

3. Учёт контекста актива

   • В модель встроены параметры:
     • является ли устройство выходящим в интернет;
     • критичность устройства для бизнеса, если вы её настроили.
   • Одна и та же CVE будет иметь разный приоритет на тестовом стенде и на критичном интернет‑фейсинговом сервере.

4. Организационный скор строится снизу вверх, от устройств

   • Общий exposure score организации теперь считается как агрегат скоринга отдельных активов.
   • Руководство видит не абстрактный индекс, а отражение реальных устройств и их уязвимостей.

5. Связь рекомендаций с движением скоринга стала прямее

   • Влияние каждой рекомендации теперь считается на уровне пары «актив–CVE».
   • Прогнозируемое влияние рекомендации на скор ближе к тому, что вы реально увидите после ремедиации.

6. Режим и частота обновления

   • Модель доступна в public preview.
   • Пересчёт скоринга идёт раз в сутки.
   • Диапазоны уровней риска не изменились:
     • 0–29 — низкий;
     • 30–69 — средний;
     • 70–100 — высокий.

Как это работает

1. Новый риск‑скор для CVE

Раньше Defender Vulnerability Management в первую очередь опирался на CVSS‑оценку. Это удобно, но часто оторвано от практики:

• высокая CVSS не всегда означает реальный риск эксплуатации;
• уязвимость со средней CVSS, но с высокой вероятностью эксплуатации и на важном активе, может быть опаснее.

Microsoft добавила многофакторный риск‑скор для CVE. В него входят:

• CVSS — по‑прежнему важный, но не единственный параметр;
• EPSS — оценка вероятности эксплуатации уязвимости в реальном мире;
• нормализованные данные по CVE из разных источников, чтобы одинаковые уязвимости не «гуляли» по скору в зависимости от источника.

Итог: модель оценивает не только теоретическую тяжесть уязвимости, но и шанс, что её реально начнут эксплуатировать.

2. Расчёт экспозиции устройства

В старой модели экспозицию устройства часто определяла одна самая тяжёлая CVE. Остальные уязвимости могли почти не влиять на скор, даже если в сумме создавали серьёзный риск.

Новая модель:

• берёт все уязвимости на устройстве;
• для каждой CVE учитывает её риск‑скор и контекст актива;
• агрегирует их в единый asset exposure score.

Это даёт более честную картину:

• если вы закрываете несколько «средних», но массовых уязвимостей, скор устройства заметно падает;
• а не жёстко привязан к одной «самой страшной» CVE.

3. Контекст актива

В модель встроены два ключевых контекстных параметра:

• Интернет‑фейсинг устройства.
  • Уязвимость на публичном веб‑сервере — один риск.
  • Та же уязвимость на изолированной машине без выхода в интернет — другой.
• Критичность устройства (если вы её настраиваете в Defender).
  • Бизнес‑критичный сервер или рабочее место топ‑менеджмента логично получать более высокий приоритет.

Модель усиливает вес уязвимостей на таких устройствах при расчёте как asset exposure score, так и общего организационного скора.

4. Организационный exposure score

Общий балл организации теперь строится из скорингов устройств. Это даёт:

• более прозрачную связь между цифрой на дашборде и конкретными активами;
• возможность объяснить руководству: какие устройства и какие CVE «поднимают» риск.

5. Рекомендации и движение скора

Раньше была типичная боль: вы выполняете рекомендации, но exposure score почти не двигается — сложно объяснить прогресс.

Теперь Microsoft считает impact рекомендаций на уровне «актив–CVE»:

• каждая рекомендация привязана к конкретным уязвимостям на конкретных устройствах;
• система заранее показывает, как изменится скор, если вы выполните рекомендацию;
• после ремедиации и следующего дневного пересчёта вы видите движение, которое ближе к прогнозу.

Что это значит для вас

Для чего использовать

1. Приоритизация патчей и ремедиации

   • Фокус не на «самых красных CVSS», а на:
     • уязвимостях с высокой вероятностью эксплуатации (EPSS);
     • уязвимостях на интернет‑фейсинговых и критичных устройствах.
   • Это помогает тратить ресурсы не на косметическую уборку, а на реальные дыры.

2. Планирование спринтов безопасности

   • Можно строить ремедиационные спринты вокруг рекомендаций с максимальным impact по новому скору.
   • Удобно для команд, которые работают по Agile и должны обосновывать, почему берут те или иные задачи.

3. Отчётность перед руководством

   • Организационный exposure score теперь лучше связан с устройствами.
   • Проще объяснить, почему приоритеты сместились, и показать:
     • какие уязвимости вы закрыли;
     • как это отразилось на скоре за 1–2 недели.

4. Оценка реального риска, а не «бумажного»

   • Если раньше вы видели высокий скор только из‑за нескольких CVE с высокой CVSS, сейчас модель лучше учитывает:
     • эксплуатацию в дикой природе;
     • контекст активов.
   • Это особенно полезно, если у вас много легаси‑систем, где невозможно «залатать всё».

Где модель особенно полезна

• Средние и крупные компании с:

  • десятками и сотнями интернет‑фейсинговых сервисов;
  • жёсткими SLA по закрытию критичных уязвимостей;
  • сложной инфраструктурой, где CVSS‑подход уже не даёт понятной картины.

• Организации, где:

  • есть отдельные команды ремедиации и риск‑менеджмента;
  • важно показывать понятный прогресс в снижении риска, а не просто количество закрытых CVE.

Где ожидания стоит приземлить

1. Скор может резко измениться после включения модели

   • Балл может вырасти или упасть сразу после обновления.
   • Это не значит, что:
     • у вас внезапно появилось много новых уязвимостей;
     • или безопасность «обвалилась».
   • Это новая точка отсчёта. Сравнивать напрямую с прошлым значением почти бессмысленно.

2. Не ждите мгновенных обновлений

   • Defender пересчитывает скор раз в день.
   • После установки патчей и закрытия уязвимостей подождите до 24 часов, чтобы увидеть эффект.

3. Нужна чистая инвентаризация активов и корректный контекст

   • Если у вас не настроена критичность устройств, и не все активы корректно размечены как интернет‑фейсинговые или нет, модель будет работать менее точно.

4. Доступность в России

   • Microsoft Defender Vulnerability Management входит в экосистему Microsoft 365 и Azure.
   • Для корпоративных клиентов из России могут требоваться обходные пути доступа (VPN, зарубежные аккаунты) и соблюдение юридических ограничений.
   • Перед внедрением имеет смысл проверить текущие условия лицензирования и доступности сервисов Microsoft для вашей юрлица.

Практический чек‑лист по переходу

1. Примите новый скор как baseline

   • Зафиксируйте значение exposure score в день включения новой модели.
   • Стройте все дальнейшие цели и KPI уже от него.

2. Пересмотрите приоритизацию

   • Зайдите в раздел рекомендаций через кнопку Improve score.
   • Сравните новый порядок приоритетов с вашей текущей очередью задач.
   • Проверьте, не появились ли уязвимости, которые теперь логично поднять выше.

3. Синхронизируйтесь с руководством

   • Объясните, что сменился метод расчёта, а не сама защищённость.
   • Покажите, как теперь скор привязан к конкретным активам и уязвимостям.

4. Отладьте процесс ремедиации

   • После выполнения рекомендаций проверяйте, совпадает ли ожидаемое снижение скора с фактическим.
   • Если расхождение большое — проверьте полноту развертывания патчей и инвентаризацию.

Место на рынке

Microsoft напрямую не сравнивает свой exposure score с другими системами, но по описанию модели можно увидеть общий класс решений:

• Многофакторный риск‑скор CVE с учётом EPSS — подход, который используют многие современные платформы управления уязвимостями, ориентированные на реальный риск, а не только на CVSS.
• Агрегация на уровне активов и организаций — стандарт для enterprise‑решений, которые должны давать и детальный, и управленческий взгляд.
• Приоритизация по контексту актива — критично для крупных инфраструктур, где «красных» уязвимостей всегда больше, чем ресурсов на их закрытие.

Чётких цифр сравнения по скорости пересчёта, точности риск‑оценки или стоимости лицензий Microsoft не приводит. Можно сказать только следующее:

• пересчёт exposure score идёт ежедневно;
• модель глубже интегрирована в экосистему Microsoft Defender и Microsoft 365, чем внешние сканеры и отдельные VM‑решения.

Если у вас уже развёрнут Microsoft Defender для конечных точек и вы пользуетесь Defender Vulnerability Management, обновлённый exposure score логично использовать как центральный индикатор риска. Если же ваша инфраструктура строится вокруг других VM‑платформ, новый скор будет интересен прежде всего как часть экосистемы Microsoft, а не как отдельный продукт.

Как запустить и где посмотреть

Обновлённый exposure score доступен в публичном превью в портале Microsoft Defender.

Пошагово:

1. Откройте Microsoft Defender portal.
2. Перейдите в раздел Exposure management → Vulnerability management → Overview.
3. На дашборде найдите карточку exposure score — там будет новый балл.
4. Нажмите Improve score, чтобы увидеть список security recommendations с приоритетами, рассчитанными по новой модели.

Полезные материалы от Microsoft:

• Документация по exposure score в Defender Vulnerability Management:
  https://learn.microsoft.com/en-us/defender-vulnerability-management/tvm-exposure-score
• Документация по security recommendations:
  https://learn.microsoft.com/en-us/defender-vulnerability-management/tvm-security-recommendation

Обратная связь

Microsoft явно рассчитывает доработать модель по итогам превью. Если вы уже пользуетесь Defender Vulnerability Management:

• отправляйте фидбек через кнопку Feedback в портале Microsoft Defender;
• или через вашего Microsoft account team.

Для зрелых security‑команд это шанс повлиять на то, как один из крупных игроков рынка считает риск уязвимостей и выставляет приоритеты ремедиации.

---

Читайте также

• Как Copilot Studio встраивается в Power Platform и зачем это бизнесу
• Как Microsoft учит Copilot писать агентов за вас: SKILL, Agent Framework и Foundry
• Microsoft собрала стартовый набор для наблюдаемости AI‑агентов в Foundry: трассировка, оценки качества и red‑team за один запуск