美國國家標準暨技術研究院(NIST)近日發布全新漏洞評估指標「可能遭利用漏洞」(Likely Exploited Vulnerabilities, LEV),目的在於解決資安界長期面臨的關鍵挑戰:從每年數千個軟體漏洞報告中,精準識別哪些已被攻擊者實際利用。
填補漏洞管理關鍵缺口
目前組織主要依賴兩大工具進行漏洞風險評估:預測未來利用可能性的「漏洞利用預測評分系統」(EPSS),以及如美國CISA維護的「已知遭利用漏洞」(KEV)清單。然而,這兩種方法各有侷限性。EPSS專注於預測但不考慮過往利用情況,而KEV清單雖為確認案例,卻往往資訊不完整。
LEV透過分析歷史EPSS數據,計算漏洞過去遭利用的機率,有效橋接了EPSS及KEV兩種方法間的差距。需要注意的是,LEV提供的是統計估算而非確認結果,因此NIST強調該指標旨在增強而非取代現有評估方法。
解決資安資源配置難題
漏洞修補的現實挑戰十分嚴峻。根據研究報告,
多數企業每月僅能修補影響其系統約16%的漏洞,而研究顯示僅約5%的漏洞會在實際環境中遭到利用。理想情況下,組織應將有限資源集中於修補這小部分但極危險的漏洞子集,但識別這些漏洞一直是業界難題。
LEV的出現為此提供解決方案。透過協助組織優先處理可能已遭攻擊者利用的漏洞,該指標能使修補工作更具針對性與效率。
研究人員概述LEV的四大核心應用方式:
- 估算已遭利用漏洞數量:提供整體威脅態勢評估
- 檢驗KEV清單完整性:識別現有清單的覆蓋缺口
- 發現高風險遺漏漏洞:找出未列入官方清單但具高風險的漏洞
- 修正EPSS盲點:彌補EPSS有時低估已遭利用漏洞風險的問題
對資安長(CISO)與政策制定者而言,LEV引入了全新的漏洞管理策略衡量與驗證方式。該指標可支援合規性要求、指導營運決策,並協助向董事會與監管機構說明風險態勢。
LEV同時帶來重要政策思考:各機構是否應根據LEV評分擴大KEV清單範圍?修補指導原則是否應納入「可能遭利用」標示,即使缺乏確鑿證據?儘管這些政策決策超出NIST職責範圍,該指標仍為決策者提供了新的參考數據。
NIST呼籲業界協作
NIST也坦承LEV有其限制。該指標的效果取決於EPSS的準確度,雖然EPSS一直在改進,但距離完美還有差距。同時,LEV需要依賴統計假設(如評分獨立性),但這些假設不見得總是正確。最重要的問題是,LEV評分目前還沒有經過實際驗證,缺乏真實數據來證明其準確性。
為驗證LEV效能,研究人員需要取得顯示特定漏洞首次遭利用時間的數據。這類數據稀少且敏感,通常由威脅情報公司、資安廠商及具備成熟偵測能力的大型企業持有。
NIST正積極尋求業界合作夥伴。若缺乏實際環境驗證,LEV將僅停留在有前景的概念階段,而無法成為值得信賴的實用工具。
LEV程式碼已經開放使用,可基於公開EPSS數據計算評分。目前該系統對2023年3月後發布的CVE效果最佳,該時期引入了迄今最準確的EPSS第3版。評分可每日更新,組織可根據自選的機率閾值產生LEV清單。
若業界積極參與協作,LEV有望成為資安工具箱中的重要新指標。雖然它無法取代專家判斷、威脅情報或現有系統,但能有效強化這些工具的效能。面對修補疲勞的現實問題和持續的資源限制,這樣的改善確實意義重大。
正如NIST所言:「即使無法確切知道哪些漏洞已遭利用,我們至少能做出明智的推測,而這可能足以推動更聰明、更專注的行動。」
本文轉載自helpnetsecurity。