K0NSULT // ai-truth/ipIII
k0nsult.cloud / ai-truth / ipIII / orchestrator / attack-path

Attack Path Context — dlaczego kontekst waży więcej niż severity

Ta sama luka o tym samym wskaźniku CVSS znaczy co innego, gdy leży na ścieżce do klejnotu koronnego, a co innego, gdy tkwi w odizolowanym zakątku sieci. F11 dodaje warstwę kontekstu ponad surową severity: pyta czy luka jest na drodze do crown jewel, jak łatwo ją wykorzystać, jaka jest ekspozycja, jakie mechanizmy kompensujące ją tłumią i czy sprawa wymaga eskalacji. To perspektywa obrony — nie zawiera instrukcji przeprowadzenia włamania. Cała strona to ROADMAP: opisuje planowany model priorytetyzacji, nie działający endpoint.

Po co ta strona. Sortowanie podatności wyłącznie po severity (CVSS) prowadzi do tego, że zespół goni setki „krytycznych" luk bez kontekstu, a naprawdę groźna kombinacja — średnia luka na ścieżce do systemu przelewów — zostaje w kolejce. F11 to szkic modelu, który przestawia priorytet z „jak poważna jest luka" na „co ta luka realnie umożliwia w tej konkretnej sieci". Dokument opisowy, defensywny. Zgodnie z doktryną claim ≤ proof: to nie jest wdrożona funkcja — status ROADMAP, nie LIVE.
Severity mówi „jak głośno". Kontekst mówi „gdzie i po co".

Wskaźnik CVSS opisuje lukę w izolacji, jakby stała sama na pustyni. Ale obrońca nie broni luki — broni ścieżki: od punktu wejścia, przez kolejne kroki, do klejnotu koronnego (dane klientów, system rozliczeń, klucze podpisu). F11 nakłada na każdy finding pięć czynników kontekstu i wylicza, czy sprawa wymaga eskalacji mimo umiarkowanej severity — albo odwrotnie, czy „krytyczna" luka jest w praktyce stłumiona przez mechanizmy kompensujące.

PRZESUNIĘCIE PRIORYTETU: severity (CVSS)+ ścieżka do crown jewel+ łatwość wykorzystania+ ekspozycja− kontrole kompensującepriorytet kontekstowy

Pięć czynników kontekstu

Każdy finding oceniany planowo wzdłuż pięciu osi. Wagi poniżej są przykładowe i syntetyczne — ilustrują logikę, nie stanowią zatwierdzonego cennika ryzyka. Model docelowy kalibruje wagi per organizacja.

CzynnikCo pytaKierunek wpływuWaga (przykład)
Ścieżka do crown jewel Czy luka leży na drodze prowadzącej do klejnotu koronnego (patrz /crown-jewels)? Ile kroków dzieli ją od zasobu krytycznego? podnosi priorytet — im bliżej crown jewel, tym wyżej. ×3.0
Exploitability (łatwość wykorzystania) Jak trudno technicznie wykorzystać lukę? Czy istnieje publiczny wpis w KEV / wysoki EPSS? Czy potrzebne są warunki wstępne (uwierzytelnienie, dostęp lokalny)? podnosi priorytet — niskie wymagania i obecność w KEV zwiększają wagę. ×2.0
Exposure (ekspozycja) Czy zasób jest osiągalny z internetu, czy tylko z sieci wewnętrznej? Segmentacja, dostęp warunkowy, widoczność publiczna. podnosi priorytet — ekspozycja zewnętrzna waży więcej niż wewnętrzna. ×1.8
Compensating controls (kontrole kompensujące) Czy istnieją mechanizmy tłumiące: WAF, MFA, segmentacja, wykrywanie, kopie zapasowe, dostęp uprzywilejowany (PAM)? obniża priorytet — silne kontrole redukują wagę kontekstową. ×0.4 – ×0.9
Wymóg eskalacji Czy złożenie powyższych czynników przekracza próg, który wymaga eskalacji do właściciela ryzyka / komitetu / procesu remediacji poza kolejnością? brama decyzyjna — flaga TAK/NIE zamiast mnożnika. próg

Ilustracja: ta sama severity, dwa różne priorytety

Przykład syntetyczny, dane fikcyjne. Pokazuje, jak kontekst rozdziela dwie luki o identycznym CVSS.

AspektLuka ALuka B
Severity (CVSS)7.5 (High)7.5 (High)
Ścieżka do crown jewel1 krok od systemu rozliczeńbrak ścieżki (izolowany host testowy)
Exploitabilitywpis w KEV, niskie wymaganiabrak publicznego wpisu, wymaga dostępu lokalnego
Exposureosiągalny z sieci partnerasegment odcięty, tylko lab
Compensating controlsbrak MFA na tym stykuMFA + segmentacja + monitoring
Priorytet kontekstowyeskalacja — mimo „tylko High"kolejka planowa — mimo tego samego CVSS
Wniosek. Bez kontekstu obie luki dostałyby ten sam bilet „High" i tę samą pozycję w kolejce. Attack Path Context wynosi lukę A do eskalacji, a lukę B trzyma w planowej naprawie — dokładnie dlatego, że pierwsza jest na ścieżce do klejnotu koronnego, a druga nie. Priorytet płynie z kontekstu, nie z etykiety severity.

Zasada defensywna

Granica etyczna. Ta strona opisuje, jak obrońca priorytetyzuje naprawę — patrzy na ścieżki, żeby wiedzieć, co łatać najpierw. Nie zawiera instrukcji przeprowadzenia włamania, kroków wykorzystania luki ani gotowych łańcuchów. „Ścieżka do crown jewel" jest tu miarą pilności naprawy, a nie przepisem na przejście. Wszelkie działania o charakterze testu bezpieczeństwa wyłącznie w granicach pisemnych Rules of Engagement.

Status i granice

F11
Attack Path Context
status ROADMAP — model opisany, nie wdrożony
5
czynniki kontekstu
ścieżka · exploitability · exposure · kontrole · eskalacja
syntetyczne
wszystkie wagi i przykłady
kalibracja per organizacja w wersji docelowej
claim ≤ proof
doktryna
brak endpointu = brak deklaracji LIVE
Czego ta strona NIE deklaruje. Nie ma dziś działającego silnika, który liczyłby priorytet kontekstowy na żywej bazie findings — to jest ROADMAP. Model wymaga wcześniej: mapy zasobów krytycznych (/crown-jewels), danych o ekspozycji i segmentacji, oraz spięcia z przepływem naprawczym (/remediation). Ograniczenia całego orchestratora — w tym brak części tych źródeł — są jawnie wypisane na /known-limitations.

Powiązane: mapa zasobów krytycznych → /crown-jewels · przepływ naprawczy → /remediation · uczciwy rejestr ograniczeń → /known-limitations.