論文の概要: Vulnerability Management Chaining: An Integrated Framework for Efficient Cybersecurity Risk Prioritization
- arxiv url: http://arxiv.org/abs/2506.01220v3
- Date: Thu, 10 Jul 2025 15:13:08 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-07-11 18:48:43.606045
- Title: Vulnerability Management Chaining: An Integrated Framework for Efficient Cybersecurity Risk Prioritization
- Title(参考訳): Vulnerability Management Chaining: 効果的なサイバーセキュリティリスク優先順位付けのための統合フレームワーク
- Authors: Naoyuki Shimizu, Masaki Hashimoto,
- Abstract要約: 本稿では、効率的な脆弱性優先順位付けを実現するための決定木フレームワークである脆弱性管理チェーンを提案する。
まず、KEVメンバシップまたはEPSSしきい値0.088ドルを使用して脅威ベースのフィルタリングを適用し、次にCVSSスコア$geq$7.0)を用いて脆弱性重大度評価を適用し、情報的優先順位付けを可能にする。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: As the number of Common Vulnerabilities and Exposures (CVE) continues to grow exponentially, security teams face increasingly difficult decisions about prioritization. Current approaches using Common Vulnerability Scoring System (CVSS) scores produce overwhelming volumes of high-priority vulnerabilities, while Exploit Prediction Scoring System (EPSS) and Known Exploited Vulnerabilities (KEV) catalog offer valuable but incomplete perspectives on actual exploitation risk. We present Vulnerability Management Chaining, a decision tree framework that systematically integrates these three approaches to achieve efficient vulnerability prioritization. Our framework employs a two-stage evaluation process: first applying threat-based filtering using KEV membership or EPSS threshold $\geq$ 0.088), then applying vulnerability severity assessment using CVSS scores $\geq$ 7.0) to enable informed deprioritization. Experimental validation using 28,377 real-world vulnerabilities and vendor-reported exploitation data demonstrates 18-fold efficiency improvements while maintaining 85.6\% coverage. Organizations can reduce urgent remediation workload by approximately 95\%. The integration identifies 48 additional exploited vulnerabilities that neither KEV nor EPSS captures individually. Our framework uses exclusively open-source data, enabling immediate adoption regardless of organizational resources.
- Abstract(参考訳): CVE(Common Vulnerabilities and Exposures)の数は指数関数的に増え続けているため、セキュリティチームは優先順位付けに関してますます難しい決定に直面している。
CVSS (Common Vulnerability Scoring System) スコアを用いた現在のアプローチでは,高優先度の脆弱性が圧倒的に多いのに対して,EPSS (Expploit Prediction Scoring System) とKnown Exploited Vulnerabilities (KEV) カタログでは,実際のエクスプロイトリスクについて,価値はあるが不完全な視点を提供している。
Vulnerability Management Chainingは、これらの3つのアプローチを体系的に統合し、効率的な脆弱性優先順位付けを実現するための決定ツリーフレームワークである。
まず、KEVメンバシップまたはEPSSしきい値$\geq$0.088を用いて脅威ベースのフィルタリングを適用し、次にCVSSスコア$\geq$7.0で脆弱性重大度評価を適用し、情報的優先順位付けを可能にする。
28,377の現実世界の脆弱性とベンダーが報告したエクスプロイトデータを使った実験的検証は、85.6%のカバレッジを維持しながら18倍の効率改善を示している。
組織は緊急修復作業の負荷を約95%削減できる。
統合では、KEVもEPSSも個別にキャプチャしない、48のエクスプロイト脆弱性が特定されている。
当社のフレームワークでは,オープンソースデータのみを使用して,組織リソースに関わらず,すぐに採用することが可能です。
関連論文リスト
- CyberGym: Evaluating AI Agents' Cybersecurity Capabilities with Real-World Vulnerabilities at Scale [46.76144797837242]
大規模言語モデル(LLM)エージェントは、自律的なサイバーセキュリティタスクの処理において、ますます熟練している。
既存のベンチマークは不足していて、現実のシナリオをキャプチャできなかったり、スコープが限られていたりします。
我々はCyberGymを紹介した。CyberGymは1,507の現実世界の脆弱性を特徴とする大規模かつ高品質なサイバーセキュリティ評価フレームワークである。
論文 参考訳(メタデータ) (2025-06-03T07:35:14Z) - CVE-LLM : Ontology-Assisted Automatic Vulnerability Evaluation Using Large Language Models [5.4164548928725065]
National Database(NVD)は毎月1000以上の新たな脆弱性を公開しており、2024年には25%増加したと予測されている。
本研究では,大規模言語モデル(LLM)を用いて,単一メーカーのポートフォリオにおける医療機器の脆弱性の歴史的評価から脆弱性評価を学習する。
論文 参考訳(メタデータ) (2025-02-21T20:59:15Z) - SoK: Understanding Vulnerabilities in the Large Language Model Supply Chain [8.581429744090316]
この研究は、13のライフサイクルステージにまたがる75の著名なプロジェクトにわたって報告された529の脆弱性を体系的に分析する。
その結果、脆弱性はアプリケーション(50.3%)とモデル(42.7%)に集中していることがわかった。
脆弱性の56.7%が修正されているが、これらのパッチの8%は効果がなく、繰り返し脆弱性が発生する。
論文 参考訳(メタデータ) (2025-02-18T03:22:38Z) - A Relevance Model for Threat-Centric Ranking of Cybersecurity Vulnerabilities [0.29998889086656577]
脆弱性の追跡と更新の絶え間ないプロセスは、サイバーセキュリティの専門家にとって最大の関心事だ。
我々は、MITRE ATT&CKから派生した敵対的基準を用いた脅威の軽減に特化して、脆弱性管理のためのフレームワークを提供する。
我々の結果は、サイバー脅威のアクターが標的にし、悪用される可能性のある脆弱性の特定に向けた平均71.5%から91.3%の改善を示している。
論文 参考訳(メタデータ) (2024-06-09T23:29:12Z) - Rethinking the Vulnerabilities of Face Recognition Systems:From a Practical Perspective [53.24281798458074]
顔認識システム(FRS)は、監視やユーザー認証を含む重要なアプリケーションにますます統合されている。
最近の研究によると、FRSの脆弱性は敵(例えば、敵パッチ攻撃)やバックドア攻撃(例えば、データ中毒の訓練)であることが明らかになっている。
論文 参考訳(メタデータ) (2024-05-21T13:34:23Z) - SecScore: Enhancing the CVSS Threat Metric Group with Empirical Evidences [0.0]
最も広く使用されている脆弱性スコアリングシステム(CVSS)の1つは、エクスプロイトコードが出現する可能性の増大に対処していない。
本稿では,CVSS Threatメトリックグループを強化した,革新的な脆弱性重大度スコアであるSecScoreを提案する。
論文 参考訳(メタデータ) (2024-05-14T12:25:55Z) - FaultGuard: A Generative Approach to Resilient Fault Prediction in Smart Electrical Grids [53.2306792009435]
FaultGuardは、障害タイプとゾーン分類のための最初のフレームワークであり、敵攻撃に耐性がある。
本稿では,ロバスト性を高めるために,低複雑性故障予測モデルとオンライン逆行訓練手法を提案する。
本モデルでは,耐故障予測ベンチマークの最先端を最大0.958の精度で上回っている。
論文 参考訳(メタデータ) (2024-03-26T08:51:23Z) - A Zero Trust Framework for Realization and Defense Against Generative AI
Attacks in Power Grid [62.91192307098067]
本稿では電力グリッドサプライチェーン(PGSC)のための新しいゼロ信頼フレームワークを提案する。
潜在的なGenAIによる攻撃ベクターの早期発見、テールリスクに基づく安定性の評価、そしてそのような脅威の緩和を容易にする。
実験の結果,ゼロ信頼フレームワークは攻撃ベクトル生成に95.7%の精度,95%安定PGSCに9.61%のリスク尺度,GenAIによる攻撃に対する防御に99%の信頼性が得られた。
論文 参考訳(メタデータ) (2024-03-11T02:47:21Z) - Unveiling Hidden Links Between Unseen Security Entities [3.7138962865789353]
VulnScopperは、知識グラフ(KG)と自然言語処理(NLP)を組み合わせたマルチモーダル表現学習を利用した革新的なアプローチである。
我々は、National Vulnerability Database(NVD)とRed Hat CVEデータベースの2つの主要なセキュリティデータセットでVulnScopperを評価した。
VulnScopperは既存の手法よりも優れており、CVEをCWE(Common Vulnerabilities and Exposures)、CPE(Common Platform Languageions)にリンクする際の78%のHits@10精度を実現している。
論文 参考訳(メタデータ) (2024-03-04T13:14:39Z) - Certifiers Make Neural Networks Vulnerable to Availability Attacks [70.69104148250614]
私たちは初めて、逆転戦略が敵によって意図的に引き起こされる可能性があることを示します。
いくつかの入力や摂動のために自然に発生する障害に加えて、敵は故意にフォールバックを誘発するために訓練時間攻撃を使用することができる。
我々は2つの新しいアベイラビリティーアタックを設計し、これらの脅威の実用的妥当性を示す。
論文 参考訳(メタデータ) (2021-08-25T15:49:10Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。