Ta sama luka o tym samym wskaźniku CVSS znaczy co innego, gdy leży na ścieżce do klejnotu koronnego, a co innego, gdy tkwi w odizolowanym zakątku sieci. F11 dodaje warstwę kontekstu ponad surową severity: pyta czy luka jest na drodze do crown jewel, jak łatwo ją wykorzystać, jaka jest ekspozycja, jakie mechanizmy kompensujące ją tłumią i czy sprawa wymaga eskalacji. To perspektywa obrony — nie zawiera instrukcji przeprowadzenia włamania. Cała strona to ROADMAP: opisuje planowany model priorytetyzacji, nie działający endpoint.
Wskaźnik CVSS opisuje lukę w izolacji, jakby stała sama na pustyni. Ale obrońca nie broni luki — broni ścieżki: od punktu wejścia, przez kolejne kroki, do klejnotu koronnego (dane klientów, system rozliczeń, klucze podpisu). F11 nakłada na każdy finding pięć czynników kontekstu i wylicza, czy sprawa wymaga eskalacji mimo umiarkowanej severity — albo odwrotnie, czy „krytyczna" luka jest w praktyce stłumiona przez mechanizmy kompensujące.
Każdy finding oceniany planowo wzdłuż pięciu osi. Wagi poniżej są przykładowe i syntetyczne — ilustrują logikę, nie stanowią zatwierdzonego cennika ryzyka. Model docelowy kalibruje wagi per organizacja.
| Czynnik | Co pyta | Kierunek wpływu | Waga (przykład) |
|---|---|---|---|
| Ścieżka do crown jewel | Czy luka leży na drodze prowadzącej do klejnotu koronnego (patrz /crown-jewels)? Ile kroków dzieli ją od zasobu krytycznego? | podnosi priorytet — im bliżej crown jewel, tym wyżej. | ×3.0 |
| Exploitability (łatwość wykorzystania) | Jak trudno technicznie wykorzystać lukę? Czy istnieje publiczny wpis w KEV / wysoki EPSS? Czy potrzebne są warunki wstępne (uwierzytelnienie, dostęp lokalny)? | podnosi priorytet — niskie wymagania i obecność w KEV zwiększają wagę. | ×2.0 |
| Exposure (ekspozycja) | Czy zasób jest osiągalny z internetu, czy tylko z sieci wewnętrznej? Segmentacja, dostęp warunkowy, widoczność publiczna. | podnosi priorytet — ekspozycja zewnętrzna waży więcej niż wewnętrzna. | ×1.8 |
| Compensating controls (kontrole kompensujące) | Czy istnieją mechanizmy tłumiące: WAF, MFA, segmentacja, wykrywanie, kopie zapasowe, dostęp uprzywilejowany (PAM)? | obniża priorytet — silne kontrole redukują wagę kontekstową. | ×0.4 – ×0.9 |
| Wymóg eskalacji | Czy złożenie powyższych czynników przekracza próg, który wymaga eskalacji do właściciela ryzyka / komitetu / procesu remediacji poza kolejnością? | brama decyzyjna — flaga TAK/NIE zamiast mnożnika. | próg |
Przykład syntetyczny, dane fikcyjne. Pokazuje, jak kontekst rozdziela dwie luki o identycznym CVSS.
| Aspekt | Luka A | Luka B |
|---|---|---|
| Severity (CVSS) | 7.5 (High) | 7.5 (High) |
| Ścieżka do crown jewel | 1 krok od systemu rozliczeń | brak ścieżki (izolowany host testowy) |
| Exploitability | wpis w KEV, niskie wymagania | brak publicznego wpisu, wymaga dostępu lokalnego |
| Exposure | osiągalny z sieci partnera | segment odcięty, tylko lab |
| Compensating controls | brak MFA na tym styku | MFA + segmentacja + monitoring |
| Priorytet kontekstowy | eskalacja — mimo „tylko High" | kolejka planowa — mimo tego samego CVSS |
Powiązane: mapa zasobów krytycznych → /crown-jewels · przepływ naprawczy → /remediation · uczciwy rejestr ograniczeń → /known-limitations.