Pesquisadores do Instituto Nacional de Padrões e Tecnologia (NIST) e da CISA, agência cibernética dos Estados Unidos, apresentaram um novo método para estimar a probabilidade de que uma vulnerabilidade de segurança tenha sido explorada. A iniciativa pretende auxiliar empresas a priorizar correções de segurança de forma mais eficaz.
Leia também
Risco de pane geral em software por falta de testes
Senadores dos EUA querem TP-Link banida do país
Segundo os pesquisadores, apenas uma pequena parte das milhares de vulnerabilidades descobertas anualmente é explorada em ataques reais. Estudos citados indicam que cerca de 5% das falhas são efetivamente exploradas, enquanto empresas aplicam correções em apenas 16% delas a cada mês, devido aos custos associados a testes e implementação de mitigações.
O novo método, chamado “Vulnerabilidades Provavelmente Exploradas”, complementa o sistema EPSS (Exploit Prediction Scoring System), que calcula a chance de exploração de uma falha nos 30 dias após sua divulgação. Embora útil, o EPSS possui limitações e as listas de vulnerabilidades exploradas conhecidas (KEV) não são abrangentes.
A abordagem do NIST e da CISA utiliza dados históricos do EPSS para estimar a probabilidade de exploração passada de uma vulnerabilidade. Isso pode ajudar organizações a identificar falhas mais críticas e reduzir riscos operacionais.
Os pesquisadores destacam que ainda estão colaborando com o setor privado para validar a precisão do novo modelo em cenários reais.
