Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 197

Каталог известных эксплуатируемых уязвимостей (KEV) CISA

ПроверилCybersecurity entrepreneur & security researcher

Что такое Каталог известных эксплуатируемых уязвимостей (KEV) CISA?

Каталог известных эксплуатируемых уязвимостей (KEV) CISAСписок, поддерживаемый американским агентством CISA, который содержит CVE с достоверными доказательствами активной эксплуатации в реальных условиях и сопровождается обязательными сроками устранения для гражданских федеральных ведомств США; широко используется компаниями как сигнал приоритизации.


Каталог известных эксплуатируемых уязвимостей (KEV) CISA — это список, поддерживаемый Агентством по кибербезопасности и защите инфраструктуры США (CISA), который содержит уязвимости, для которых у CISA есть достоверные доказательства активной эксплуатации в реальных условиях. KEV был запущен в ноябре 2021 года в рамках Binding Operational Directive 22-01, которая делает устранение перечисленных CVE обязательным для гражданских ведомств исполнительной власти федерального уровня США (FCEB) в установленный срок (как правило, от двух до трёх недель). Каждая запись включает CVE, производителя/продукт, краткое описание, требуемое действие, крайний срок, дату добавления и — с 2024 года — отметку о том, известно ли об использовании уязвимости в кампаниях с применением программ-вымогателей.

Критерии включения намеренно строги: CVE добавляется только при условии, что ей присвоен идентификатор CVE ID, имеются надёжные доказательства активной эксплуатации (а не просто публичный proof-of-concept или сканирование) и существует чёткий способ устранения, например патч производителя. Именно эта высокая планка делает KEV ценным — она отсеивает из ~40,000 публикуемых ежегодно CVE ту небольшую долю, которую злоумышленники действительно превращают в оружие. Каталог вырос с 1,239 записей в конце 2024 года до 1,484 к концу 2025 года (245 добавлений за тот год, рост примерно на ~20%) и охватывает операционные системы, сетевое оборудование, VPN, инструменты RMM, офисное ПО, браузеры и ICS. Быстро распространяющиеся уязвимости нулевого дня в пограничных устройствах, такие как PAN-OS CVE-2024-3400 и цепочка Ivanti Connect Secure (CVE-2023-46805 + CVE-2024-21887), были добавлены в течение нескольких дней после публичного раскрытия.

Несмотря на формальную привязку к федеральному уровню США, KEV стал фактическим отраслевым сигналом приоритизации: корпоративные программы управления уязвимостями и киберстраховщики воспринимают попадание в KEV как маркер «установить патч немедленно», а платформы ASPM/CSPM отображают статус KEV наряду с уровнем серьёзности CVSS, вероятностью EPSS (Exploit Prediction Scoring System) и достижимостью кода. Подключение машиночитаемого потока JSON/CSV позволяет командам автоматически эскалировать любой актив, на котором работает продукт из списка KEV.

flowchart TD
  A[Опубликована новая CVE] --> B{Соответствует всем 3 критериям KEV?}
  B --> C[Присвоен CVE ID]
  B --> D[Надёжные доказательства активной эксплуатации]
  B --> E[Доступно чёткое устранение]
  C & D & E -->|Все да| F[Добавлено в KEV Catalog]
  B -->|Любое нет напр. только PoC| G[Не добавлено]
  F --> H[BOD 22-01: установлен срок FCEB]
  F --> I[Компании + страховщики трактуют как патчить сейчас]
  F --> J[Питает ASPM/CSPM данными EPSS + CVSS + достижимость]
  style F fill:#27ae60,color:#fff
  style G fill:#7f8c8d,color:#fff

Примеры

  1. 01

    Уязвимость FortiManager «FortiJump» CVE-2024-47575 добавляется в KEV в тот же день, когда Mandiant публикует свою статью; ведомствам FCEB отводится жёсткий срок на установку исправления.

  2. 02

    Корпоративная политика приоритизации патчей требует устранять любую CVE из списка KEV в течение семи дней, независимо от значений CVSS, EPSS или критичности актива.

Частые вопросы

Что такое Каталог известных эксплуатируемых уязвимостей (KEV) CISA?

Список, поддерживаемый американским агентством CISA, который содержит CVE с достоверными доказательствами активной эксплуатации в реальных условиях и сопровождается обязательными сроками устранения для гражданских федеральных ведомств США; широко используется компаниями как сигнал приоритизации. Относится к категории Уязвимости в кибербезопасности.

Что означает Каталог известных эксплуатируемых уязвимостей (KEV) CISA?

Список, поддерживаемый американским агентством CISA, который содержит CVE с достоверными доказательствами активной эксплуатации в реальных условиях и сопровождается обязательными сроками устранения для гражданских федеральных ведомств США; широко используется компаниями как сигнал приоритизации.

Как защититься от Каталог известных эксплуатируемых уязвимостей (KEV) CISA?

Защита от Каталог известных эксплуатируемых уязвимостей (KEV) CISA обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Каталог известных эксплуатируемых уязвимостей (KEV) CISA?

Распространённые альтернативные названия: KEV, Известные эксплуатируемые уязвимости.

Связанные термины