📢 Forrás: CISA & NIST közös kutatás
🔐 Téma: Sérülékenységpriorizálás új alapokon
🎯 Újdonság: LEV (Likely Exploited Vulnerabilities) metrika
📊 Miért volt szükség új metrikára?
A CISA (Cybersecurity and Infrastructure Security Agency) és az amerikai NIST (National Institute of Standards and Technology) szakértői új prediktív modellt dolgoztak ki, amely a szoftveres sebezhetőségek valószínűsíthető kihasználását becsüli meg.
A kutatás mögött állók:
- Peter Mell – korábban NIST
- Jonathan Spring – CISA
🔍 A probléma: kevés támadás, még kevesebb javítás
📉 A kutatás szerint:
- A dokumentált sérülékenységek csak ~5%-át használják ki a való életben.
- A szervezetek havonta átlagosan csupán 16%-át javítják a felfedezett sérülékenységeknek.
❗️Ez önmagában nem lenne probléma, ha a javított 16% lefedné a legveszélyesebb 5%-ot – de jelenleg nincs pontos eszköz ennek megítélésére.
📈 Bemutatkozik a LEV metrika
A kutatók új modellt vezettek be:
LEV (Likely Exploited Vulnerabilities) – “Valószínűleg Kihasznált Sérülékenységek”
Ez a metrika a meglévő rendszerek kiegészítésére készült:
| Rendszer | Funkció | Korlát |
|---|---|---|
| EPSS (Exploit Prediction Scoring System) | 30 napos előrejelzés | Alulbecsli az aktívan kihasznált sérülékenységeket |
| KEV (Known Exploited Vulnerabilities) | Ténylegesen kihasznált hibák listája | Nem teljeskörű, csak utólagos adatokra épül |
🧠 Mit tud a LEV?
A LEV célja:
✅ Felbecsülni, hogy mely sebezhetőségeket használhatták ki, még ha nem is dokumentálták
✅ Kiegészíteni a KEV katalógust olyan sérülékenységekkel, amik várhatóan magas kockázatúak
✅ Javítani az EPSS pontszámokat, különösen azoknál, amelyeket jelenleg alábecsülnek
✅ Támogatni a szervezeteket javítási prioritások meghatározásában
🧪 Eredmények és különbségek
Példák, ahol a LEV pontosabb kockázati képet adott, mint az EPSS:
- CVE-2023-1730 (SupportCandy WordPress plugin – SQL injection)
- LEV: 0,70
- EPSS: 0,16
- CVE-2023-29373 (Microsoft ODBC Driver – Remote Code Execution)
- LEV: 0,54350
- EPSS: 0,08
📌 A kutatók százával azonosítottak olyan sérülékenységeket, amelyek LEV értéke 0,9 felett van, de a KEV listában mégsem szerepelnek.
⚠️ Fontos megjegyzés
„A LEV nem helyettesíti a KEV-et” – figyelmeztetnek a kutatók.
- A KEV konkrétan azonosított, kihasznált sérülékenységeket tartalmaz.
- A LEV kockázati becslést ad, még akkor is, ha az adott támadás még nem észlelt.
🤝 Következő lépések: ipari együttműködés
🔬 A kutatók most valós adatokon szeretnék validálni a LEV pontosságát.
👉 A NIST ipari partnereket keres, akik saját rendszerükön, valós környezetben tesztelik a modellt.
