論文の概要: A Relevance Model for Threat-Centric Ranking of Cybersecurity Vulnerabilities

• arxiv url: http://arxiv.org/abs/2406.05933v1
• Date: Sun, 9 Jun 2024 23:29:12 GMT
• ステータス: 処理完了
• システム内更新日: 2024-06-11 15:25:59.271246
• Title: A Relevance Model for Threat-Centric Ranking of Cybersecurity Vulnerabilities
• Title（参考訳）: サイバーセキュリティ脆弱性の脅威中心ランク付けに関する関連モデル
• Authors: Corren McCoy, Ross Gore, Michael L. Nelson, Michele C. Weigle,
• Abstract要約: 脆弱性の追跡と更新の絶え間ないプロセスは、サイバーセキュリティの専門家にとって最大の関心事だ。 我々は、MITRE ATT&CKから派生した敵対的基準を用いた脅威の軽減に特化して、脆弱性管理のためのフレームワークを提供する。 我々の結果は、サイバー脅威のアクターが標的にし、悪用される可能性のある脆弱性の特定に向けた平均71.5%から91.3%の改善を示している。
• 参考スコア（独自算出の注目度）: 0.29998889086656577
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: The relentless process of tracking and remediating vulnerabilities is a top concern for cybersecurity professionals. The key challenge is trying to identify a remediation scheme specific to in-house, organizational objectives. Without a strategy, the result is a patchwork of fixes applied to a tide of vulnerabilities, any one of which could be the point of failure in an otherwise formidable defense. Given that few vulnerabilities are a focus of real-world attacks, a practical remediation strategy is to identify vulnerabilities likely to be exploited and focus efforts towards remediating those vulnerabilities first. The goal of this research is to demonstrate that aggregating and synthesizing readily accessible, public data sources to provide personalized, automated recommendations for organizations to prioritize their vulnerability management strategy will offer significant improvements over using the Common Vulnerability Scoring System (CVSS). We provide a framework for vulnerability management specifically focused on mitigating threats using adversary criteria derived from MITRE ATT&CK. We test our approach by identifying vulnerabilities in software associated with six universities and four government facilities. Ranking policy performance is measured using the Normalized Discounted Cumulative Gain (nDCG). Our results show an average 71.5% - 91.3% improvement towards the identification of vulnerabilities likely to be targeted and exploited by cyber threat actors. The return on investment (ROI) of patching using our policies results in a savings of 23.3% - 25.5% in annualized costs. Our results demonstrate the efficacy of creating knowledge graphs to link large data sets to facilitate semantic queries and create data-driven, flexible ranking policies.
• Abstract（参考訳）: 脆弱性の追跡と更新の絶え間ないプロセスは、サイバーセキュリティの専門家にとって最大の関心事だ。 鍵となる課題は、社内の組織的目標に特有の修復スキームを特定することです。 戦略がなければ、その結果は脆弱性の潮流に当てはまる修正のパッチワークになります。 少数の脆弱性が現実世界の攻撃の焦点であることを考えると、実際の修復戦略は、悪用される可能性のある脆弱性を特定し、これらの脆弱性を最初に修正する努力を集中させることである。 本研究の目的は,アクセスしやすい公開データソースの集約と合成によって,脆弱性管理戦略を優先する個人的かつ自動化されたレコメンデーションを提供することで,CVSS(Common Vulnerability Scoring System)の使用よりも大幅に改善されることを実証することである。 我々は、MITRE ATT&CKから派生した敵対的基準を用いた脅威の軽減に特化して、脆弱性管理のためのフレームワークを提供する。 6つの大学と4つの政府施設に関連するソフトウェアの脆弱性を特定することで、我々のアプローチをテストする。 ランク付けポリシー性能は正規化カウント累積ゲイン(nDCG)を用いて測定される。 我々の結果は、サイバー脅威のアクターが標的にし、悪用される可能性のある脆弱性の特定に向けた平均71.5%から91.3%の改善を示している。 当社の政策によるパッチ投資の収益率(ROI)は、年間費用の23.3%から25.5%の節減となる。 本研究は,大規模データセットをリンクしてセマンティッククエリを容易にし,データ駆動型フレキシブルなランキングポリシーを作成するための知識グラフの作成の有効性を示す。

関連論文リスト

• CRepair: CVAE-based Automatic Vulnerability Repair Technology [1.147605955490786]
  ソフトウェア脆弱性は、現代のソフトウェアとそのアプリケーションデータの完全性、セキュリティ、信頼性に重大な脅威をもたらす。 脆弱性修復の課題に対処するため、研究者らは、学習に基づく自動脆弱性修復技術が広く注目を集めるなど、様々な解決策を提案している。 本稿では,システムコードのセキュリティ脆弱性を修正することを目的としたCVAEベースの自動脆弱性修復技術であるCRepairを提案する。
  論文  参考訳（メタデータ） (2024-11-08T12:55:04Z)
• TabSec: A Collaborative Framework for Novel Insider Threat Detection [8.27921273043059]
  IoT(Internet of Things, モノのインターネット)とデータ共有の時代には、ユーザは自分の個人情報をエンタープライズデータベースに頻繁にアップロードして、サービスエクスペリエンスの向上を享受する。 しかし、システム脆弱性、リモートネットワーク侵入、インサイダーの脅威が広まれば、インターネット上のプライベートエンタープライズデータの露出が著しく増加する。 本稿では,これらの課題に対処する新たな脅威検出フレームワークTabITDを提案する。
  論文  参考訳（メタデータ） (2024-11-04T04:07:16Z)
• Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
  顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。 最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
  論文  参考訳（メタデータ） (2024-05-21T13:34:23Z)
• FaultGuard: A Generative Approach to Resilient Fault Prediction in Smart Electrical Grids [53.2306792009435]
  FaultGuardは、障害タイプとゾーン分類のための最初のフレームワークであり、敵攻撃に耐性がある。 本稿では,ロバスト性を高めるために,低複雑性故障予測モデルとオンライン逆行訓練手法を提案する。 本モデルでは,耐故障予測ベンチマークの最先端を最大0.958の精度で上回っている。
  論文  参考訳（メタデータ） (2024-03-26T08:51:23Z)
• Profile of Vulnerability Remediations in Dependencies Using Graph Analysis [40.35284812745255]
  本研究では,グラフ解析手法と改良型グラフ注意畳み込みニューラルネットワーク(GAT)モデルを提案する。 制御フローグラフを分析して、脆弱性の修正を目的とした依存性のアップグレードから発生するアプリケーションの変更をプロファイルします。 結果は、コード脆弱性のリレーショナルダイナミクスに関する微妙な洞察を提供する上で、強化されたGATモデルの有効性を示す。
  論文  参考訳（メタデータ） (2024-03-08T02:01:47Z)
• REEF: A Framework for Collecting Real-World Vulnerabilities and Fixes [40.401211102969356]
  本稿では,REal-world vulnErabilities and Fixesをオープンソースリポジトリから収集するための自動収集フレームワークREEFを提案する。 脆弱性とその修正を収集する多言語クローラを開発し、高品質な脆弱性修正ペアをフィルタするためのメトリクスを設計する。 大規模な実験を通じて,我々の手法が高品質な脆弱性修正ペアを収集し,強力な説明を得られることを示す。
  論文  参考訳（メタデータ） (2023-09-15T02:50:08Z)
• On the Security Risks of Knowledge Graph Reasoning [71.64027889145261]
  我々は、敵の目標、知識、攻撃ベクトルに応じて、KGRに対するセキュリティ脅威を体系化する。 我々は、このような脅威をインスタンス化する新しいタイプの攻撃であるROARを提示する。 ROARに対する潜在的な対策として,潜在的に有毒な知識のフィルタリングや,対向的な拡張クエリによるトレーニングについて検討する。
  論文  参考訳（メタデータ） (2023-05-03T18:47:42Z)
• Attack Techniques and Threat Identification for Vulnerabilities [1.1689657956099035]
  優先順位付けと集中は、最高のリスク脆弱性に限られた時間を費やすことが重要になります。 この研究では、機械学習と自然言語処理技術、およびいくつかの公開データセットを使用します。 まず、脆弱性を一般的な弱点の標準セットにマッピングし、次に一般的な弱点を攻撃テクニックにマップします。 このアプローチは平均相反ランク(MRR)が0.95であり、最先端システムで報告されているものと同等の精度である。
  論文  参考訳（メタデータ） (2022-06-22T15:27:49Z)
• Perspectives on risk prioritization of data center vulnerabilities using rank aggregation and multi-objective optimization [4.675433981885177]
  Reviewは、脆弱性ランキング技術の調査と、脆弱性のリスク優先順位付けの管理において、多目的最適化がどのように役立つかについての議論を促進することを目的としている。 この作業の主な貢献は、一般的には調査されていないが、脆弱性を優先順位付けし、より良い時間管理とセキュリティ向上を可能にする有望な戦略として、多目的最適化を指摘することである。
  論文  参考訳（メタデータ） (2022-02-12T11:10:22Z)
• VELVET: a noVel Ensemble Learning approach to automatically locate VulnErable sTatements [62.93814803258067]
  本稿では,ソースコード中の脆弱な文を見つけるための新しいアンサンブル学習手法であるVELVETを提案する。 我々のモデルは、グラフベースとシーケンスベースニューラルネットワークを組み合わせて、プログラムグラフの局所的およびグローバル的コンテキストを捕捉する。 VELVETは、合成データと実世界のデータに対して、それぞれ99.6%と43.6%の精度を達成している。
  論文  参考訳（メタデータ） (2021-12-20T22:45:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。