NIST提出新型安全指标:识别潜在被利用漏洞
美国国家标准与技术研究院(NIST)近日公布了一项突破性的安全指标,旨在评估哪些软件漏洞可能已被利用——即使相关组织尚未察觉。
这项由前NIST专家Peter Mell和网络安全与基础设施安全局(CISA)Jonathan Spring共同完成的研究成果《可能被利用的漏洞:漏洞利用概率的拟议指标》(NIST CSWP 41)于2025年5月19日发布,填补了漏洞管理领域的关键空白。研究显示,已知漏洞中仅有约5%会被实际利用,而企业通常每月仅能修复16%的漏洞,新方法将帮助安全团队更有效地确定修复优先级。
现有漏洞评估体系的局限性
当前漏洞管理主要依赖两种存在明显缺陷的方法:
- 漏洞利用预测评分系统(EPSS):预测未来30天内漏洞被利用的可能性,但其模型"刻意排除了历史漏洞利用数据作为输入参数",导致"无法识别过去已被利用的漏洞,造成评分失准"。
- 已知被利用漏洞清单(KEV):记录确认被利用的漏洞,但"可能不够全面,且在此研究之前缺乏衡量其覆盖范围的计量方法"。
这种预测与确认之间的脱节形成了漏洞优先级排序的关键缺口,而新型LEV指标正是为解决这一问题而生。
可能被利用漏洞(LEV)指标详解
LEV指标建立在数学模型基础上,通过累加EPSS分数随时间的变化来计算累积利用概率。研究提出了两种计算变体:LEV和LEV2。
基础公式LEV(v, d₀, dₙ) ≥ 1 – ∏(1-epss(v, dᵢ) × weight(dᵢ, dₙ, 30))将EPSS分数作为30天窗口预测因子,计算资源需求较低。更精细的LEV2变体将EPSS分数除以30视为单日覆盖值,对分数变化响应更灵敏,但需要显著更强的处理能力。两种方法都提供随着数据点增加而改进的下限估计值。
四大突破性管理能力
LEV指标为安全团队提供了前所未有的四种关键能力:
- 通过Expected_Exploited()方程首次实现被利用CVE预期比例的量化测量
- 通过KEV_Exploited()方程开创性地评估KEV清单的全面性
- 识别当前未列入KEV清单的高风险CVE,实证数据显示存在"数百个概率接近1.0却未被列入清单"的漏洞
- 提供融合"预测数据、已知信息和统计推断"的复合方法,建立更具防御性的优先级策略
对行业实践的深远影响
LEV指标标志着漏洞管理数学方法的重大进步,其设计初衷并非取代而是补充现有工具。NIST甚至提供了将LEV与现有方法整合的复合方程,使组织能更全面地掌握漏洞态势。
面对漏洞数量远超修复能力的现实困境(组织通常仅能处理16%的漏洞,而真正关键的漏洞仅占5%),这一新型数学方法有望帮助弥合两者间的巨大鸿沟。