A nova métrica NIST LEV: O que precisa saber

O aumento dos relatórios de vulnerabilidades e um crescente acúmulo de vulnerabilidades críticas e exposições (CVE) conspiram para colocar as empresas em risco. A nova métrica Likely Exploited Vulnerabilities (LEV) do NIST pode ajudar. Eis como.

O estado da cibersegurança CVE

O programa CVE da NIST acompanha tanto vulnerabilidades históricas quanto emergentes para ajudar as empresas a reduzir o seu risco de cibersegurança. No entanto, segundo uma recente atualização da NIST, a agência está a ficar para trás no processamento e classificação de novas CVEs. Em parte, este atraso deve-se ao aumento dos volumes de relatórios. Em 2024, as submissões CVE aumentaram 32%, e a NIST diz que "a taxa de submissões continuará a aumentar em 2025."

Os processos manuais, juntamente com a escassez de profissionais qualificados, também afetam o atraso. Embora o NIST planeie aumentar a eficiência revendo processos internos e automatizando tarefas sempre que possível, é provável que o atraso do CVE piore antes de melhorar.

Isso cria um desafio para as empresas que dependem dos dados CVE para ajudar a informar as práticas de cibersegurança. Com os cibercriminosos a explorar constantemente novas formas de explorar sistemas de uso comum, os atrasos na comunicação e análise criam uma lacuna de segurança. As aplicações e as APIs em que as empresas confiam podem apresentar riscos não detetados, dando aos atacantes mais tempo para agir sem intervenção de segurança.

Perto, mas não exatamente: KEV e EPSS

Com os relatórios CVE a ficarem para trás, outros programas, como o catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) e o Sistema de Pontuação de Previsão de Explorações (EPSS), oferecem formas de reduzir o risco.

Compreender KEV

A lista KEV é mantida pela CISA. Contém mais de 1300 vulnerabilidades que foram exploradas na natureza. Como resultado, é uma fonte de informação de segurança comumente utilizada porque ajuda as equipas a compreender melhor de onde vem o risco e como podem responder eficazmente. No entanto, dado o número elevado de vulnerabilidades listadas, defender contra todo o catálogo não é possível. Em vez disso, as equipas precisam determinar quais vulnerabilidades representam o maior risco e tomar medidas específicas para prevenir comprometimentos.

Explorando o EPSS

EPSS foi desenvolvido em 2018 por profissionais de segurança no Fórum de Equipas de Resposta a Incidentes e Segurança (FIRST). Este sistema de pontuação considera múltiplos fatores, incluindo a presença de exploits disponíveis publicamente, a complexidade dos processos de exploração, a popularidade do código vulnerável e quaisquer dados do mundo real recolhidos de fontes como sistemas de deteção de intrusões (IDS) ou honeypots.

Usando estes dados, o EPSS prevê a probabilidade de uma vulnerabilidade ser explorada num determinado período de tempo, que é tipicamente de 30 dias. Além disso, o modelo sugere quando o risco é mais alto e mais baixo durante este período de 30 dias. A versão mais recente do EPSS foi lançada em março de 2025.

Ambos os programas ajudam a reduzir o risco de compromisso, mas também apresentam advertências. Embora o KEV assinale aproximadamente 1.300 vulnerabilidades, estas preocupações de segurança não apresentam riscos iguais. Como referido por um recente Security Week, a análise de 25 falhas KEV que afetam aplicações nativas da nuvem revelou que 10 eram tecnicamente inexplotáveis ou requeriam condições extremamente específicas para serem executadas. Como resultado, não representam ameaças imediatas ou acionáveis. Para tirar o máximo proveito dos dados KEV, as equipas de cibersegurança precisam considerar o contexto das vulnerabilidades — algo que consome tempo e esforço de outras práticas de segurança.

Entretanto, a EPSS ajuda as empresas a compreenderem melhor o risco de ameaças, prevendo a probabilidade de comprometimento in-the-wild, normalmente ao longo de um período de 30 dias. O desafio aqui? Os cenários de cibersegurança podem mudar significativamente em 30 dias, tornando a EPSS útil para o planeamento a longo prazo, mas menos aplicável nas operações diárias.

Como o LEV pode ajudar a nivelar o campo de atuação

LEV oferece uma nova abordagem para a gestão de vulnerabilidades, que se concentra em calcular a probabilidade de que uma falha já tenha sido explorada por agentes de ameaça, mesmo que essa exploração não tenha sido observada.

O próprio LEV é uma fórmula que fornece atualizações diárias de:

1. As probabilidades de que um CVE já tenha sido explorado
2. As probabilidades de um CVE ser explorado.

Aqui está a fórmula:

Com o LEV, as equipas de cibersegurança recebem dados incluindo:

• Nome CVE, data e descrição
• Probabilidade de exploração passada
• Pontuação máxima de EPSS para janelas de 30 dias selecionadas
• Data da pontuação máxima de EPSS em cada uma dessas janelas
• Uma lista de software ou código afetado descrito usando Common Product Enumeration (CPE)

De acordo com o NIST LEV whitepaper: "Estes resultados podem ser usados para medir a proporção esperada de CVEs que foram exploradas e a abrangência das listas KEV. Estes resultados também podem aumentar a priorização da remediação de vulnerabilidades baseada em KEV e EPSS."

Conquistando o compromisso: Um esforço colaborativo

LEV é uma nova e poderosa ferramenta no arsenal de cibersegurança do NIST, mas não é uma solução milagrosa. Embora mais informações sobre as implicações do mundo real dos CVEs existentes ajudem a reduzir o risco de comprometimento, o LEV é mais eficaz quando emparelhado com outros ativos, como EPSS e KEV, e combinado com ferramentas de cibersegurança avançadas, como deteção de ameaças por IA multimodal.

Esforços de colaboração dão às empresas informações essenciais sobre o que já aconteceu, o que está a acontecer neste momento e o que provavelmente acontecerá nos próximos dias ou semanas. O resultado é uma abordagem mais proativa à cibersegurança que ajuda a frustrar os esforços dos atacantes e a parar o compromisso antes que comece.