据该项目背后的研究人员团队称,一项旨在创建一种预测漏洞利用方式的公共努力宣布了一种新的机器学习模型,该模型将其预测能力提高了 82%,这是一个显着的提升。 组织可以访问模型,将于 7 月 XNUMX 日上线, 通过 API 随时识别得分最高的软件缺陷。
第三版漏洞利用预测评分系统 (EPSS) 使用 1,400 多个特征——例如漏洞存在时间、是否可远程利用以及特定供应商是否受到影响——成功预测哪些软件问题将被利用接下来的 30 天。 根据评分系统确定漏洞修复优先级的安全团队可以通过使用最新版本的通用漏洞评分系统 (CVSS) 将修复工作量减少到八分之一。 一篇论文 关于上周发布到 arXiv 的 EPSS 第 3 版。
EPSS 可以用作减少安全团队工作量的工具,同时使公司能够修复代表最大风险的漏洞,Cyentia Institute 的首席数据科学家兼该论文的第一作者 Jay Jacobs 说。
“公司可以查看分数列表的顶端,然后开始逐步降低——考虑……资产重要性、关键性、位置、补偿控制——并尽其所能进行补救,”他说。 “如果它真的很高,也许他们确实想把它提高到临界状态——让我们在接下来的五天内解决它。”
EPSS 旨在解决安全团队每天面临的两个问题:跟上 每年披露的软件漏洞数量不断增加,并确定 哪些漏洞代表的风险最大. 例如,在 2022 年,MITRE 维护的常见漏洞和暴露 (CVE) 数据库中报告了超过 25,000 个漏洞, 根据国家漏洞数据库.
EPSS 的工作始于 Cyentia,但现在已经形成了一个由大约 170 名安全从业者组成的团队 特别兴趣小组 (SIG) 作为事件响应和安全团队论坛 (FIRST) 的一部分,以继续开发该模型。 其他 研究团队开发了替代品 机器学习模型, 例如预期可利用性.
公共政策智库兰德公司的高级政策研究员兼联席主席 Sasha Romanosky 表示,以前对特定漏洞所代表的风险的衡量标准——通常是通用漏洞评分系统 (CVSS)——效果不佳EPSS 特别兴趣小组的成员。
“虽然 CVSS 对于捕获漏洞的影响 [或] 严重性很有用,但它不是一种有用的威胁衡量标准——我们从根本上缺乏作为一个行业的这种能力,而这正是 EPSS 试图填补的空白,”他说. “好消息是,随着我们整合来自更多供应商的更多漏洞利用数据,我们的分数会越来越好。”
连接不同的数据
漏洞利用预测评分系统连接来自第三方的各种数据,包括来自软件维护者的信息、来自漏洞利用数据库的代码以及安全公司提交的漏洞利用事件。 通过每个漏洞的通用标识符(CVE)连接所有这些事件,机器学习模型可以了解可能表明该漏洞是否会被利用的因素。 例如,漏洞是否允许代码执行,漏洞利用说明是否已经发布到三大漏洞利用数据库,CVE中引用了多少,都是可以预测漏洞是否存在的因素。会被剥削。
随着时间的推移,EPSS 背后的模型变得越来越复杂。 第一次迭代只有 16 个变量,工作量减少了 44%,相比之下,如果使用通用漏洞评分系统 (CVSS) 评估漏洞并认为其严重(58 分或更高,在 7 分制中),则工作量减少 10%。 EPSS 版本 2 大大扩展了变量数量,超过 1,100 个。 最新版本增加了大约 300 个。
Rand 的 Romanosky 表示,预测模型需要权衡取舍——例如,在它捕获的可利用漏洞数量和误报率之间——但总体而言非常有效。
“虽然没有解决方案能够完全告诉您下一步将利用哪个漏洞,但我认为 EPSS 是朝着正确方向迈出的一步,”他说。
巨大的进步
总体而言,通过添加特征和改进机器学习模型,研究人员将评分系统的性能提高了 82%,这是通过曲线下面积 (AUC) 绘制精度与召回率(也称为覆盖率与效率)来衡量的。 该模型目前的 AUC 为 0.779,比第二个 EPSS 版本的 AUC 为 82 高 0.429%。 AUC 为 1.0 将是一个完美的预测模型。
使用最新版本的 EPSS,一家想要捕获超过 82% 的被利用漏洞的公司只需缓解分配给通用漏洞和暴露 (CVE) 标识符的所有漏洞中的大约 7.3%,远低于 58% 的漏洞必须使用 CVSS 修复的 CVE。
该模型可通过 FIRST 站点上的 API 获得,允许公司随时获取特定漏洞的分数或检索得分最高的软件缺陷。 然而,Cyentia 的 Jacobs 表示,公司将需要更多信息来确定其修复工作的最佳优先级。
“数据是免费的,所以你可以去获取 EPSS 分数,你可以去获取每日转储,但挑战在于你何时将其付诸实践,”他说。 “可利用性只是您需要考虑的所有因素之一,其他因素我们无法衡量。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://www.darkreading.com/emerging-tech/machine-learning-improves-prediction-of-exploited-vulnerabilities
- :是
- $UP
- 000
- 1
- 100
- 2022
- 7
- a
- Able
- 关于
- ACCESS
- 根据
- 账户
- 添加
- 地址
- AL
- 所有类型
- 允许
- 允许
- 替代
- 和
- 公布
- API
- 保健
- 国家 / 地区
- AS
- 财富
- 分配
- At
- 作者
- 可使用
- 基于
- 基础
- BE
- 背后
- 最佳
- 更好
- 之间
- 促进
- by
- CAN
- 能力
- 捕获
- 摔角
- 挑战
- 图表
- 首席
- 联席主席
- 码
- 相当常见
- 公司
- 公司
- 相比
- 复杂
- 连接
- 所连接
- 考虑
- 考虑
- 继续
- 控制
- 公司
- 可以
- 覆盖
- 创建信息图
- 危急
- 目前
- 曲线
- CVE
- 每天
- data
- 数据科学家
- 数据库
- 数据库
- 一年中的
- 设计
- 确定
- 确定
- 开发
- 发达
- 方向
- 不同
- 向下
- 每
- 效率
- 高效
- 努力
- 工作的影响。
- 八年级
- 使
- 加强
- 醚(ETH)
- 评估
- 事件
- 所有的
- 一切
- 例子
- 执行
- 扩大
- 预期
- 利用
- 开发
- 剥削
- 曝光
- 面部彩妆
- 因素
- 特征
- 填
- 企业
- (名字)
- 固定
- 缺陷
- 缺陷
- 针对
- 形成
- 论坛
- 自由的
- 止
- 从根本上
- 差距
- 得到
- Go
- 非常好
- 抢
- 非常
- 团队
- 长大的
- 有
- 高
- 更高
- 最高
- 创新中心
- How To
- HTTPS
- 识别码
- 鉴定
- 影响力故事
- 重要性
- 改善
- 改进
- 提高
- 改善
- in
- 事件
- 事件响应
- 包含
- 表明
- 行业中的应用:
- 信息
- 研究所
- 说明
- 整合
- 兴趣
- 问题
- IT
- 迭代
- 它的
- JPG
- 保持
- 已知
- (姓氏)
- 最新
- 学习用品
- 学习
- 喜欢
- Line
- 清单
- 生活
- 圖書分館的位置
- 看
- 机
- 机器学习
- 主要
- 许多
- 最大宽度
- 衡量
- 措施
- 提到
- 减轻
- 模型
- 模型
- 时刻
- 更多
- 最先进的
- National
- 需求
- 全新
- 消息
- 下页
- NIST
- 数
- of
- on
- 一
- 组织
- 其他名称
- 最划算
- 纸类
- 部分
- 特别
- 各方
- 性能
- 施行
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 在练习上
- 平台精度
- 预测
- 预测
- 预测
- 漂亮
- 以前
- 优先级
- 优先
- 优先
- 问题
- 项目
- 国家
- 出版
- 放
- 兰特
- 率
- 红色
- 减少
- 减少
- 引用
- 报道
- 代表
- 代表
- 研究员
- 研究人员
- 响应
- 风险
- s
- 说
- 鳞片
- 科学家
- 得分
- 其次
- 保安
- 寻求
- 前辈
- 显著
- 网站
- So
- 软件
- 方案,
- 来源
- 特别
- 具体的
- 开始
- 开始
- 步
- 提交
- 顺利
- 这样
- 系统
- 坦克
- 团队
- 队
- 这
- 区域
- 其
- 博曼
- 事
- 智囊团
- 第三
- 第三者
- 威胁
- 三
- 通过
- 次
- 至
- 工具
- 最佳
- 一般
- 下
- 各种
- Ve
- 供应商
- 厂商
- 版本
- 与
- 通过
- 漏洞
- 漏洞
- 通缉
- 方法..
- 周
- 井
- 什么是
- 是否
- 这
- 而
- 将
- 工作
- 将
- 和风网