https://www.infosecurity-magazine.com/news/twitter-effective-cvss/
新しい調査によると、脆弱性に関するTwitterの言及を監視することは、組織が最初にパッチを適用するバグに優先順位を付けるのに役立つCVSSスコアの2倍の効果がある可能性があります。
さらに進んで、調査した脆弱性の62%が悪用される可能性が1%未満であるのに対し、10%を超える可能性はわずか5%であると主張しました。
このシステムは、CVE情報と実際のエクスプロイトデータを使用して、脆弱性が実際に悪用されるかどうか、いつ悪用されるかを予測します。
「エクスプロイトコードを使用して脆弱性を優先することは、エクスプロイトの可能性を最小限に抑える上で、CVSSスコアよりも11倍効果的です。驚くべきことに、Twitterでの言及は、CVSSよりもはるかに優れた信号対雑音比を持っています(約2倍優れています)」と彼は書いています。
「また、選択肢があれば、修復能力を高めるよりも脆弱性の優先順位付けを改善する方がはるかに効果的であることも学びました…しかし、両方を行うことで、悪用可能性を29分の1に減らすことができます。」
Bellisは、技術的なCVSSスコアではなく悪用可能性を介してバグを優先することは「将来の戦略」であり、米国政府のセキュリティ専門家が採用しているように見えると結論付けました。
Twitterは、悪用可能性の削減においてCVSSよりも効果的であると述べています
security summary
コメント