Compensating Controls + EPSS-driven risk scoring

Two upgrades that change how Lorika prioritises remediation work — both pulling on real-world data instead of CVE severity alone.

What's new

• Compensating Controls library. A curated set of common controls — application allow-listing, network segmentation, MFA enforcement, EDR coverage, etc. — that you can apply against a finding with one click. The risk score adjusts immediately, the audit trail captures exactly when and by whom the compensation was acknowledged.
• One-click "apply mitigation". When a finding has a documented mitigation, the operator can adopt it without writing a custom note. Mitigations are versioned and revocable.
• EPSS-driven auto-defer. The Exploit Prediction Scoring System publishes an empirical "likelihood this CVE will be exploited in the next 30 days" for every CVE. We now auto-defer low-likelihood unpatched vulnerabilities so the dashboard shows what your team should actually fix this week — not 4,000 noise items.
• Adaptive remediation guidance. Findings with no patch available now show contextual guidance — what mitigations to apply, what compensating controls reduce the score most, and how to demonstrate the deferral to an auditor.

Why this matters

The single biggest complaint about vulnerability management is "you flagged 4,000 things and 3,800 of them aren't actually exploitable in our environment." Compensating controls and EPSS together cut the noise by an order of magnitude — without hand-waving away genuine risk.

Компенсуючі контролі + EPSS-скоринг ризиків

Два апгрейди, які міняють те, як Lorika пріоритизує remediation — обидва спираються на реальні дані, а не лише на severity CVE.

Що нового

• Бібліотека компенсуючих контролів. Куроване зведення поширених контролів — application allow-listing, мережева сегментація, обов'язкова MFA, покриття EDR тощо — які можна застосувати до знахідки в один клік. Risk score адаптується миттєво, audit trail фіксує, хто і коли підтвердив компенсацію.
• One-click застосування мітигації. Якщо знахідка має задокументовану мітигацію, оператор може її прийняти без написання довільного коментаря. Мітигації версіонуються й відкликаються.
• Авто-відкладення на основі EPSS. Exploit Prediction Scoring System публікує емпіричну «ймовірність експлуатації цієї CVE за 30 днів» для кожної. Ми тепер автоматично відкладаємо низько-ймовірні невиправлені вразливості, щоб дашборд показував те, що команда реально має фіксити цього тижня — а не 4 000 фонових пунктів.
• Адаптивні поради з мітигації. Знахідки без доступного патчу тепер показують контекстні поради — які мітигації застосувати, які компенсуючі контролі найбільше зменшують ризик і як обґрунтувати відкладення перед аудитором.

Чому це важливо

Найчастіша скарга у vulnerability management — «ви позначили 4 000 пунктів, з яких 3 800 у нашому середовищі не експлуатуються». Компенсуючі контролі + EPSS разом зменшують шум на порядок — без махання руками на справжній ризик.