¿priorIQ.ai reemplaza a mi scanner?

No. Lo potencia. Conectamos con Tenable, Qualys, Rapid7, Snyk, AWS Inspector y Wiz para reconciliar todo en una sola vista.

¿Está disponible on-premise?

Sí. Ofrecemos SaaS multi-tenant y despliegue self-hosted, incluido air-gapped.

¿Cuánto tarda en estar operativo?

El time-to-value típico es menos de 2 semanas desde la conexión del primer scanner.

¿Cómo se calcula la priorización?

Combinamos CVSS, EPSS, presencia en CISA KEV, exploits públicos verificados, exploit-in-kit y la exposición de negocio del activo.

¿Soporta entornos air-gapped?

Sí, con una réplica local del catálogo NVD y un canal de actualización offline.

¿Qué frameworks de compliance soporta?

CIS Benchmarks por OS, NIS2, DORA, SOC 2 e ISO/IEC 27001:2022, con evaluación continua.

¿Cómo se gestionan los datos sensibles?

Cifrado at-rest con AES-256, credenciales nunca expuestas en respuestas API ni en logs, audit log inmutable.

¿Tienen integración con ticketing?

Sí, nativa con Jira, ServiceNow y Freshservice. Crea, actualiza y cierra tickets desde priorIQ.ai.

CISA KEV explicado: el catálogo de vulnerabilidades explotadas activamente

El catálogo CISA KEV es una de las entradas más importantes —y más accionables— de la gestión de vulnerabilidades moderna. La regla es simple: si una CVE está en el catálogo, los atacantes la están explotando ahora mismo. Este artículo explica qué es, cómo funciona y cómo integrarlo en tu priorización.

¿Qué es el catálogo CISA KEV?

El catálogo Known Exploited Vulnerabilities (KEV) es una lista pública y gratuita mantenida por CISA, la agencia de ciberseguridad de EE. UU. Contiene CVE con evidencia fiable de explotación activa en la práctica. Cada entrada incluye el identificador CVE, el fabricante y producto afectados, una breve descripción, la fecha en que se añadió y una fecha límite de remediación.

Por qué una entrada en KEV vence a cualquier puntuación

Una puntuación CVSS estima la severidad; una EPSS estima la probabilidad de explotación. Una entrada en KEV no es ni estimación ni predicción — es confirmación. La vulnerabilidad ya está en manos de los atacantes hoy. Eso convierte al catálogo en la señal de mayor valor que puedes añadir a tus hallazgos: cualquier cosa que tengas y que aparezca en KEV debe remediarse primero, sin discusión.

KEV y la Binding Operational Directive 22-01

La BOD 22-01 de CISA obliga a las agencias civiles federales de EE. UU. a remediar las entradas de KEV antes de sus fechas límite. Aunque no seas una agencia federal, el catálogo es un feed de priorización neutral y actualizado continuamente que cualquier organización debería consumir.

Cómo usar KEV en tu programa

Cruza cada hallazgo contra el catálogo KEV.
Trata cualquier coincidencia como máxima prioridad, sin importar su CVSS.
Mide un SLA de remediación de KEV como métrica central.
Añade EPSS al resto. Para todo lo que no esté en KEV, ordena por probabilidad de explotación — ver EPSS vs CVSS.

KEV es necesario, pero no suficiente

El catálogo solo cubre lo que CISA ha confirmado. Muchas vulnerabilidades explotadas no están (todavía) listadas, así que trata KEV como un suelo, no un techo: combínalo con EPSS para la probabilidad y con la exposición de negocio para el contexto. Esa combinación es la esencia de la gestión de vulnerabilidades basada en riesgo, y es justo el orden que recomendamos en nuestro marco de priorización.

Cómo priorIQ.ai usa KEV

priorIQ.ai marca automáticamente cada CVE listada en KEV en tu inventario reconciliado y la lleva al principio de la cola, y luego puntúa el resto con EPSS, exposición de negocio y análisis de combinaciones tóxicas. Solicita una demo.

Preguntas frecuentes

¿Con qué frecuencia se actualiza el catálogo KEV? Con regularidad — CISA añade entradas a medida que confirma nueva explotación, a menudo varias veces por semana.

¿KEV solo es relevante para agencias de EE. UU.? El mandato aplica a ellas; el catálogo es para todos. Es gratuito y cualquier organización puede consumirlo.

KEV vs EPSS — ¿cuál uso? Ambos. KEV es explotación confirmada; EPSS es probabilidad predicha para todo lo que aún no está confirmado.