NIST 提出新型安全指标：识别潜在被利用漏洞

美国国家标准与技术研究院（NIST）近日公布了一项突破性的提出安全指标，旨在评估哪些软件漏洞可能已被利用——即使相关组织尚未察觉 。新型

这项由前NIST专家Peter Mell和网络安全与基础设施安全局（CISA）Jonathan Spring共同完成的安全研究成果《可能被利用的漏洞：漏洞利用概率的拟议指标》（NIST CSWP 41）于2025年5月19日发布 ，填补了漏洞管理领域的指标关键空白。研究显示
，识别已知漏洞中仅有约5%会被实际利用 ，潜被而企业通常每月仅能修复16%的服务器租用利用漏洞漏洞 ，新方法将帮助安全团队更有效地确定修复优先级 。提出

当前漏洞管理主要依赖两种存在明显缺陷的方法 ：

这种预测与确认之间的脱节形成了漏洞优先级排序的关键缺口 ，而新型LEV指标正是为解决这一问题而生
。

LEV指标建立在数学模型基础上 ，通过累加EPSS分数随时间的源码下载变化来计算累积利用概率。研究提出了两种计算变体：LEV和LEV2。

基础公式LEV(v, d₀, dₙ) ≥ 1 – ∏(1-epss(v, dᵢ) × weight(dᵢ, dₙ, 30))将EPSS分数作为30天窗口预测因子 ，计算资源需求较低 。更精细的LEV2变体将EPSS分数除以30视为单日覆盖值，对分数变化响应更灵敏 
，但需要显著更强的处理能力。两种方法都提供随着数据点增加而改进的下限估计值。模板下载

LEV指标为安全团队提供了前所未有的四种关键能力 ：

LEV指标标志着漏洞管理数学方法的重大进步，其设计初衷并非取代而是补充现有工具。NIST甚至提供了将LEV与现有方法整合的复合方程 ，使组织能更全面地掌握漏洞态势。

面对漏洞数量远超修复能力的现实困境（组织通常仅能处理16%的漏洞，而真正关键的高防服务器漏洞仅占5%），这一新型数学方法有望帮助弥合两者间的巨大鸿沟
。

最新评论