Пару месяцев назад институт NIST опубликовал технический документ, в котором представил методику расчета метрики LEV (Likely Exploited Vulnerabilities, вероятно эксплуатируемые уязвимости):
Данная метрика, используя информацию об оценках EPSS, позволяет оценить вероятность эксплуатации уязвимости в прошлом, т.е. вероятность того, что уязвимость уже использовалась в атаках злоумышленников, хотя на текущий момент нет фактов, подтверждающих это.
Метрика должна повысить эффективность приоритизации в процессе управления уязвимостями, устранив ограничения методики расчета EPSS (не включает прошлые факты эксплуатации в свою модель) и реестров типа "Known Exploited Vulnerability" (не исчерпывающие списки эксплуатируемых уязвимостей).
При этом подчеркивается, что LEV должен обязательно использоваться совместно с EPSS и/или KEV (на американском рынке многие компании используют эти инструменты для приоритизации).

На сколько эффективна метрика LEV?
Исследователь Крис Мэдден опубликовал инструмент для расчета метрики LEV и поделился результатами сравнительного анализа EPSS, KEV и LEV:
Если посмотреть на левый верхний квадрант точечной диаграммы (первый скрин) сравнения оценок EPSS и KEV, можно увидеть, что LEV довольно хорошо покрывает эксплуатируемые уязвимости из каталога CISA KEV (красные точки). Однако, высокое покрытие (около 90%) достигается при довольно низком пороге LEV в 0,1
Если комбинировать оценки EPSS и LEV, то при минимальном пороге в 0,1 количество прогнозируемо эксплуатируемых (в прошлом и в ближайшем 30-дневном будущем) уязвимостей составит около 27-28% от общего количества зарегистрированных CVE (по состоянию на начало июня). А это довольно много и не вписывается в парадигму эффективной маркетинговой приоритизации

И что в итоге?
Решает ли LEV проблему приоритизации? Думаю, что однозначно нет. Всё-таки когда новая метрика базируется на не совсем прозрачной модели (EPSS), то она содержит те же ограничения и потенциальные математические недочеты, что и ее "родитель".
К тому же, нам всё равно приходится принимать довольно серьезные риски, устанавливая "рекомендуемые кем-то" пороговые значения для оценок EPSS и LEV, и тем самым отбрасывая большое количество потенциально опасных уязвимостей, которые мы не собираемся исправлять.

По моему мнению, LEV может помочь в более оперативном пополнении каталогов и ресурсов типа KEV: вендоры, TI-специалисты и исследователи могли бы сосредоточить свои усилия на поиске фактов эксплуатации уязвимостей с высоким значением метрики LEV

Полезное о LEV:
NIST LEV
Risk Based Prioritization (about LEV)
Comparing NIST LEV, EPSS, and KEV

#cve #vm #lev #kev #epss #vulnerability #risk #prioritization