NIST引入了一种估计哪些软件漏洞可能被利用的新方法,并呼吁网络安全社区帮助改进和验证该方法。
新指标“可能被利用的漏洞”(LEV)旨在缩小漏洞管理中的关键差距:确定每年报告的数千个缺陷中哪些实际上被用于现实世界的攻击。
为此,组织通常依赖两个主要工具:利用预测评分系统(EPSS),该系统估计未来利用的机会,以及已知利用漏洞(KEV)列表,如CISA维护的列表。但两者都有局限性。EPSS是预测性的,不考虑过去的利用,而KEV列表是确诊病例,但通常不完整。
LEV旨在通过根据历史EPSS数据计算过去漏洞被利用的概率来弥合这一差距。这是一个统计估计,而不是确认,这就是为什么白皮书强调LEV旨在增强而不是取代现有方法。
为什么很重要?
赌注很高。修复漏洞既耗时又昂贵。根据该论文,大多数公司每月只能修补影响其系统的约16%的漏洞。与此同时,研究表明,只有大约5%的漏洞在野外被利用。理想情况下,组织将花费有限的资源修补这个小而危险的子集,但事实证明很难识别它们。
这就是LEV进来的地方。通过帮助组织优先考虑可能已经在攻击中使用的漏洞,该指标可以使修补工作更有针对性和有效性。
研究人员概述了使用LEV的四个关键方式:
1.估计有多少漏洞被利用了。
2.检查KEV列表的完整性。
3.识别这些列表中缺失的高风险漏洞。
4.修复EPSS中的盲点,这有时会低估已经被利用的错误的风险。
政策和信任的问题
对于CISO和决策者,LEV引入了衡量和证明漏洞管理策略的新方法。它可以支持合规,指导运营决策,并帮助向董事会和监管机构解释风险态势。
这也提出了重要的问题:机构是否应该根据LEV分数扩大其KEV列表的范围?即使没有确凿的证据,修补指南是否应该开始包括“可能被利用”的指定?这些政策决策超出了NIST的作用,但该指标为领导者提供了需要考虑的新数据。
NIST明确表示LEV并不完美。这取决于EPSS的准确性,EPSS的准确性随着时间的推移有所提高,但仍远未完成。它需要做出统计假设,例如分数独立性,这可能并不总是正确的。也许最重要的是,LEV分数目前未经验证。没有基本真相数据来说明这些估计值是否真的正确。
这让我们看到了白皮书行动呼吁的核心:NIST需要合作伙伴。
需要行业合作
为了衡量LEV的工作效果如何,研究人员需要访问显示特定漏洞首次被利用的数据。这些数据稀少且敏感。它通常也由威胁情报公司、安全供应商和具有成熟检测能力的大型企业等私营部门公司持有。
NIST正在积极寻求与此类合作伙伴的合作。如果没有现实世界的验证,LEV仍将是一个有前途的想法,而不是一个值得信赖的工具。
然而,如果行业站出来,LEV可能会成为网络安全工具箱中重要的新指标。它不会取代专家的判断、威胁情报或现有系统,但它可以使它们更加敏锐。在补丁疲劳真实且资源约束恒定的环境中,这不是一件小事。
下一步是什么
LEV代码已经可用,并根据公共EPSS数据计算分数。目前,它最适合2023年3月之后发布的CVE,当时EPSS版本3是迄今为止最准确的。分数可以每天更新,并且可以根据组织选择的任何概率阈值生成LEV列表。
如果我们不能确定哪些漏洞被利用了,我们至少可以做出明智的猜测,这可能足以推动更智能和更有针对性的行动。
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容