聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
NIST研究员 Peter Mell 和 CISA 研究员 Jonathan Spring 发表论文,说明了他们所提出的“可能遭利用的漏洞 (LEV)” 的等式。
软件和硬件每年都会被发现数以千计的漏洞,但只有较少比例的漏洞会遭在野利用。了解哪些漏洞已遭利用或者预测哪些漏洞遭利用的可能性对于组织机构优先打补丁而言至关重要。
“已知遭利用的漏洞 (KEV)” 类的列表如由CISA维护的KEV以及依赖于数据来预测漏洞将被利用的可能性的“利用预测评分系统 (EPSS)”,能够发挥很重要的作用。然而,KEV列表的完整性可能欠佳,而EPSS的准确度可能不尽如人意。
LEV 旨在增强而非取代多种KEV列表和EPSS,而这会通过等式实现。该等式会考虑多种变量如某个具体漏洞首次获得EPSS评分的日期、最新的KEV列表更新日期、纳入KEV的日期,以及在既定日期的EPSS分数等。
论文提到,LEV至少可在四种用例中发挥作用。LEV计算出的概率能够度量威胁人员已利用的预期漏洞数量和比例,而且还能用于估测KEV列表的全面性。研究人员解释称,“此前,KEV维护人员无法通过一种度量标准来证明他们的列表在完成包含所有相关漏洞方面的表现。”
此外,LEV计算出的概率有助于增强基于KEV和EPSS的漏洞修复优先级。对于KEV而言可识别可能缺失的更可能遭利用的漏洞,对于EPSS 则是找到可能评分过低的漏洞。
虽然在理论上来讲,LEV对于漏洞处理优先级而言非常有用,但研究人员提到了协作的必要性,而NIST正在寻找“拥有相关数据集的”行业合作伙伴“以经验为基础来度量LEV概率的表现”。
原文始发于微信公众号(代码卫士):NIST、CISA联合提出漏洞利用概率度量标准
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论