HackerNews 编译,转载请注明出处:
美国国家标准与技术研究院(NIST)推出全新漏洞评估指标“可能被利用漏洞(LEV)”,旨在帮助组织量化漏洞遭实际利用的可能性。这项发布于5月19日的技术白皮书显示,LEV模型基于2018年由事件响应与安全团队论坛(FIRST)提出的漏洞利用预测评分系统(EPSS)进行优化,旨在提升企业漏洞优先级排序效率。
EPSS系统通过机器学习模型预测特定漏洞在30天内遭利用的概率,其最新版本EPSS v4于2025年3月发布。LEV指标在此基础上增加多维数据维度,每日为漏洞管理人员提供包含历史利用概率峰值、各30天窗口期EPSS评分等参数的详细分析报告。具体输出数据包括:
- CVE编号、发布日期及描述LEV概率值(即历史观测到的利用可能性)30天窗口期内EPSS评分峰值及出现日期各窗口期具体评分与对应日期受影响产品的通用平台枚举(CPE)信息
白皮书提出两种LEV计算模型:标准版采用30天窗口期EPSS原始数据,优化版则将EPSS评分除以30生成单日预测值,后者需更高算力支持但能反映评分动态变化。NIST建议将LEV与CISA已知被利用漏洞(KEV)目录、第三方企业及开源社区的同类数据库结合使用,形成多维度评估体系。研究团队特别指出,现有KEV清单存在覆盖不全的问题,而EPSS模型在设计上无法准确反映历史漏洞的利用情况。
不过NIST也坦承LEV存在误差范围未知的局限性,这主要源于EPSS系统未将历史利用数据纳入评分机制。此外,若某漏洞在30天内遭利用,其后续评分不会因此上调。尽管存在缺陷,NIST期望通过LEV的实践应用,推动漏洞评估体系的持续优化,为网络安全防御提供更精准的决策依据。
消息来源:infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
