美國國家標準與技術研究院（NIST）近日公布了一項突破性的安全指標，旨在評估哪些軟件漏洞可能已被利用——即使相關組織尚未察覺。

這項由前NIST專家Peter Mell和網(wǎng)絡安全與基礎設施安全局（CISA）Jonathan Spring共同完成的研究成果《可能被利用的漏洞：漏洞利用概率的擬議指標》（NIST CSWP 41）于2025年5月19日發(fā)布，填補了漏洞管理領域的關鍵空白。研究顯示，已知漏洞中僅有約5%會被實際利用，而企業(yè)通常每月僅能修復16%的漏洞，新方法將幫助安全團隊更有效地確定修復優(yōu)先級。

現(xiàn)有漏洞評估體系的局限性

當前漏洞管理主要依賴兩種存在明顯缺陷的方法：

• 漏洞利用預測評分系統(tǒng)（EPSS）：預測未來30天內(nèi)漏洞被利用的可能性，但其模型"刻意排除了歷史漏洞利用數(shù)據(jù)作為輸入?yún)?shù)"，導致"無法識別過去已被利用的漏洞，造成評分失準"。
• 已知被利用漏洞清單（KEV）：記錄確認被利用的漏洞，但"可能不夠全面，且在此研究之前缺乏衡量其覆蓋范圍的計量方法"。

這種預測與確認之間的脫節(jié)形成了漏洞優(yōu)先級排序的關鍵缺口，而新型LEV指標正是為解決這一問題而生。

可能被利用漏洞（LEV）指標詳解

LEV指標建立在數(shù)學模型基礎上，通過累加EPSS分數(shù)隨時間的變化來計算累積利用概率。研究提出了兩種計算變體：LEV和LEV2。

基礎公式LEV(v, d?, d?) ≥ 1 – ∏(1-epss(v, d?) × weight(d?, d?, 30))將EPSS分數(shù)作為30天窗口預測因子，計算資源需求較低。更精細的LEV2變體將EPSS分數(shù)除以30視為單日覆蓋值，對分數(shù)變化響應更靈敏，但需要顯著更強的處理能力。兩種方法都提供隨著數(shù)據(jù)點增加而改進的下限估計值。

四大突破性管理能力

LEV指標為安全團隊提供了前所未有的四種關鍵能力：

• 通過Expected_Exploited()方程首次實現(xiàn)被利用CVE預期比例的量化測量
• 通過KEV_Exploited()方程開創(chuàng)性地評估KEV清單的全面性
• 識別當前未列入KEV清單的高風險CVE，實證數(shù)據(jù)顯示存在"數(shù)百個概率接近1.0卻未被列入清單"的漏洞
• 提供融合"預測數(shù)據(jù)、已知信息和統(tǒng)計推斷"的復合方法，建立更具防御性的優(yōu)先級策略

對行業(yè)實踐的深遠影響

LEV指標標志著漏洞管理數(shù)學方法的重大進步，其設計初衷并非取代而是補充現(xiàn)有工具。NIST甚至提供了將LEV與現(xiàn)有方法整合的復合方程，使組織能更全面地掌握漏洞態(tài)勢。

面對漏洞數(shù)量遠超修復能力的現(xiàn)實困境（組織通常僅能處理16%的漏洞，而真正關鍵的漏洞僅占5%），這一新型數(shù)學方法有望幫助彌合兩者間的巨大鴻溝。