Вон у нас чуть ли не главный безопасник говорит: фильтруйте через координатор от Инфотекса все по белым спискам. Вот так и живем.

Согласен, проблема огромная я даже не представляю себе где отрасли под КИИ себе спецов набирать будут, если их даже лицензиаты найти не могут

Вы плохо смотрели. Если в коде на 1000 строк 0,65 ошибки, то это код достаточно высокого уровня. А в ОС миллионы строк. Плюс сторонний софт.

Просто проблема в чем, вот стоит ядро например 4.15.3 )), обновить рисковано, CPE его: cpe:2.3:o:linux:linux_kernel:4.15.3:*:*:*:*:*:*:*, уязвимостей под CPE опубликовано мягко говоря дофига.. значит что остается? Только испытания через эксплойты или PoC, подтвердится уязвимость будем думать что делать, не подтвердится просто ставим на контроль CVE

По этому команда Касперского решила делать ОС на микросервисной архитектуре, с достаточно небольшими кусками кода по каждому сервису. А Arista похожая же архитектура. Один модуль подвис, остальное все продолжает работать. Когда создавался UNIX, Линь, Win о безопасности толком не думали. Вот теперь и проблем столько.

Почему опасно обновлять?

А вы пробовали сами взломать свои сети изнутри и снаружи? И как вы определяете моменты взлома?

Если на серверах то ктож будет ядро сервиса какого нить обновлять без валидола

Используйте hardened ядро тогда

Оно с усиленной самозащитой

А что под взломом подразумевать будем? Для кого-то уже критично будет, что баба Дуся по почте во вне отправила снимок какого-то важного документа, который она случайно сфотографировала, делая селфи.

Ну вообще то обязаны пробовать, в этом суть испытаний по безопасности.. Моменты взлома чтобы определить нужно сначала уязвимости все потенциальные собрать, посмотреть как реагирует система на попытки эксплуатации ну и ставить эти реакции системы на контроль (например в логах что то пишется, нужно отловить запись) В некоторых сценариях отлавливаются по сигнатурам сетевого взаимодействия,  это СОВ обучать нужно (свои правила писать), хорошей практикой является на мой взгляд хонейпот размещать в сети

тут сообщений 100 про CVE и ИБ, и как это красиво. Только без испытаний и конкретных мер это не работает)

ИБ вообще не работает) Достаточно посмотреть на мировые новости, как каждый день что-то куда-то утекает, что-то раскрывается секретное, и т. д.

я дошел до рукописных ловушек, и полных инкапсуляций рабочих мест, с ручными жестким правилами, немного помогает. Хотябы можно понять что происходит в сети, и как с этим бороться

Админ психанул на работодателя, и слил базу, к которой имел доступ. Много тут средств поможет? Наказать то может можно, а вот предотвратить гораздо сложнее.

Да, подтверждаю что испытавается (ну я так точно делаю), локальные уязвимости на эскалацию привилегий берутся отсюда проверочные эксплойты https://www.exploit-db.com/search по CVE, сетевые вещи Metasploit ну в целом так, понятно что и другие ресурсы юзаются

это человеческий фактор, вы пытаетесь описать все по одним правилам, если быстро сможете локализовать админа, то ваша ИБ работает

Полных это как?) Без инета, клавиатуры. мыши и интерфейсов?)

Я уже писал выше, что 80% это утечки изнутри. Из этих 80% процентов 80% - это человеческий фактор. С персонала надо начинать, с его обучения. И параллельно думать о технических средствах.