NIST CSWP 41: Likely Exploited Vulnerabilities
A National Institute of Standards and Technology (NIST) CSWP 41 számú kiadványa bemutatja a Likely Exploited Vulnerabilities (LEV) nevű új metrikát, amely a sebezhetőségek múltbeli kihasználásának valószínűségét becsüli meg statisztikai alapon. A LEV célja, hogy kiegészítse a meglévő eszközöket, mint az Exploit Prediction Scoring System (EPSS) és a Known Exploited Vulnerabilities (KEV) listák, azáltal, hogy kvantitatív becslést nyújt arra vonatkozóan, hogy egy adott sebezhetőséget valószínűleg már kihasználtak-e, még akkor is, ha erről nincs közvetlen bizonyíték.
Az EPSS jelenleg a következő 30 napban bekövetkező kihasználás valószínűségét becsüli, de nem veszi figyelembe a múltbeli kihasználásokat, míg a KEV listák csak a már ismert, kihasznált sebezhetőségeket tartalmazzák, de nem nyújtanak információt azokról, amelyek valószínűleg kihasználtak, de még nem dokumentáltak. A LEV metrika célja, hogy áthidalja ezt a hiányosságot azáltal, hogy az EPSS pontszámok időbeli sorozatát és súlyozását felhasználva számítja ki a sebezhetőségek múltbeli kihasználásának valószínűségét.
A LEV metrika négy fő felhasználási területe: a sebezhetőségek várható számának és arányának becslése, amelyeket már kihasználtak, a KEV listák teljességének értékelése, a KEV-alapú prioritási rendszerek javítása olyan sebezhetőségek azonosításával, amelyek valószínűleg kihasználtak, de még nem szerepelnek a KEV listán és az EPSS-alapú prioritási rendszerek pontosítása olyan sebezhetőségek felismerésével, amelyek alulértékeltek lehetnek.
A LEV számításához a kutatók egy egyenletet alkalmaznak, amely a napi vagy 30 napos EPSS pontszámokat súlyozottan kombinálja. Az egyenlet a következő formában jelenik meg:
LEV ≥ 1 – ∏(1 – EPSS(Wi) × weighti)
hol EPSS(Wi) a Wi időablakhoz tartozó EPSS pontszám, és weighti az adott időablak súlya.
A LEV metrika bevezetése jelentős előrelépést jelent a sebezhetőségek kezelésében, mivel lehetővé teszi a biztonsági csapatok számára, hogy jobban priorizálják a javításokat, különösen azoknál a sebezhetőségeknél, amelyek kihasználása valószínű, de még nem dokumentált. A NIST jelenleg ipari partnereket keres a LEV metrika teljesítményének empirikus méréséhez és validálásához.
