A sérülékenységi adatokkal kapcsolatos aggályok
A napjainkban használt legfontosabb sérülékenység menedzsment keretrendszerek közé tartozik a CVE (Common Vulnerabilities and Exposures) program és a CVSS (Common Vulnerability Scoring System). A CVE program minden felfedezett biztonsági réshez azonosítót rendel, szabványosítva ezzel a sérülékenységek dokumentálásának folyamatát. A CVSS bevezet egy módszert a sérülékenységek rangsorolására azáltal, hogy minden CVE-nek CVSS-pontszámot ad. Széles körű használatuk ellenére a CVE és a CVSS stagnál a kiberbiztonság egyre növekvő fenyegetettségéhez és terjedelméhez képest. A biztonsági csapatoknak egyre nagyobb, változatosabb és összetettebb technológiai halmazokat kell biztosítaniuk. A CVE és a CVSS egyszerűen nem elegendő a több modern rendszer fenyegetettségi információinak folyamatos kezeléséhez.
A Cloud Security Alliance kiadványa rávilágít a jelenlegi sérülékenység menedzsment programok kritikus hiányosságaira, például az elavult információkra, a korlátozott kontextusra és a nem hatékony pontozásra. Emellett olyan lehetséges megoldásokat is vizsgál, amelyek javíthatják a sérülékenységek nyomon követését, pontozását és rangsorolását. A kiadvány olyan alternatív keretrendszerek is érint, mint az EPSS, az SSVC és a VPR, valamint megemlít követendő fenyegetés-modellezési keretrendszereket, mint például a STRIDE, LINDDUN, PASTA, VAST, TRIKE és DREAD. A CSA azt is vizsgálta, hogy hogyan segíthet a mesterséges intelligencia és a gépi tanulás a sérülékenységek növekvő mennyiségének kezelésében.
