論文の概要: I Can't Patch My OT Systems! A Look at CISA's KEVC Workarounds & Mitigations for OT

• arxiv url: http://arxiv.org/abs/2510.06951v1
• Date: Wed, 08 Oct 2025 12:34:59 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-09 16:41:20.486062
• Title: I Can't Patch My OT Systems! A Look at CISA's KEVC Workarounds & Mitigations for OT
• Title（参考訳）: OTシステムをパッチできない! CISAの KEVC Workarounds & Mitigations for OT
• Authors: Philip Huff, Nishka Gandu, Pavel Novák,
• Abstract要約: 我々は,米国国土安全保障省が管理するKEVC(Known Exploitable Vulnerabilities Catalog)を分析した。 我々のチームは2025年7月までに全てのKEVCエントリを分析し、OT環境が既存の修復レコメンデーションにどの程度依存できるかを調べた。 KEVCのほとんどのエントリがOT環境に影響を与える可能性があるが、パッチの代替手段としてベンダの回避や緩和を含むのは13%に過ぎなかった。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: We examine the state of publicly available information about known exploitable vulnerabilities applicable to operational technology (OT) environments. Specifically, we analyze the Known Exploitable Vulnerabilities Catalog (KEVC) maintained by the US Department of Homeland Security Cybersecurity and Infrastructure Security Agency (CISA) to assess whether currently available data is sufficient for effective and reliable remediation in OT settings. Our team analyzed all KEVC entries through July 2025 to determine the extent to which OT environments can rely on existing remediation recommendations. We found that although most entries in the KEVC could affect OT environments, only 13% include vendor workarounds or mitigations as alternatives to patching. This paper also examines the feasibility of developing such alternatives based on vulnerability and exploit characteristics, and we present early evidence of success with this approach.
• Abstract（参考訳）: 運用技術(OT)環境に適用可能な,既知の悪用可能な脆弱性に関する情報の公開状況について検討する。 具体的には、米国国土安全保障省のKEVC(Known Exploitable Vulnerabilities Catalog)を分析し、現在利用可能なデータがOT設定の有効かつ信頼性の高い修復に十分かどうかを評価する。 我々のチームは2025年7月までに全てのKEVCエントリを分析し、OT環境が既存の修復レコメンデーションにどの程度依存できるかを調べた。 KEVCのほとんどのエントリがOT環境に影響を与える可能性があるが、パッチの代替手段としてベンダの回避や緩和を含むのは13%に過ぎなかった。 また,脆弱性とエクスプロイト特性に基づく代替案の開発の可能性についても検討し,本手法の早期成功例を示す。

関連論文リスト

• What Do They Fix? LLM-Aided Categorization of Security Patches for Critical Memory Bugs [46.325755802511026]
  我々は、LLM(Large Language Model)と細調整された小言語モデルに基づく2つのアプローチを統合するデュアルメタルパイプラインであるLMを開発した。 LMは、OOBまたはUAFの脆弱性に対処する最近のLinuxカーネルのパッチ5,140のうち111つを、手作業による検証によって90の正の正が確認された。
  論文  参考訳（メタデータ） (2025-09-26T18:06:36Z)
• VulnRepairEval: An Exploit-Based Evaluation Framework for Assessing Large Language Model Vulnerability Repair Capabilities [41.85494398578654]
  VulnRepairEvalは、関数型Proof-of-Conceptエクスプロイトに固定された評価フレームワークである。 我々のフレームワークは、再現可能な微分評価を可能にする包括的でコンテナ化された評価パイプラインを提供する。
  論文  参考訳（メタデータ） (2025-09-03T14:06:10Z)
• A Practical Guideline and Taxonomy to LLVM's Control Flow Integrity [40.46280139210502]
  Control Flow Integrity (CFI)は、このエクスプロイトパスを緩和するために勢いを増している。 LLVMのフォワードエッジCFI変異体をメモリ破損脆弱性クラスにマッピングする分類法を確立した。
  論文  参考訳（メタデータ） (2025-08-21T09:23:24Z)
• Fixing Outside the Box: Uncovering Tactics for Open-Source Security Issue Management [9.990683064304207]
  我々はOSSプロジェクトにおける脆弱性修復戦術(RT)の分類に関する総合的研究を行う。 44個の異なるRTの階層型分類法を開発し,その有効性とコストを評価した。 私たちの発見は、代替ライブラリの使用や脆弱性の回避など、コミュニティ主導の戦略に大きく依存していることを強調しています。
  論文  参考訳（メタデータ） (2025-03-30T08:24:58Z)
• Navigating the Edge with the State-of-the-Art Insights into Corner Case Identification and Generation for Enhanced Autonomous Vehicle Safety [38.07210302881341]
  仮想シミュレーションで合成データを利用するいくつかの手法が提案されている。 最も高いリスクデータであるコーナーケース(CC)は、AV制御の開発とテストにおいて最も価値のあるものである。
  論文  参考訳（メタデータ） (2025-02-27T22:47:46Z)
• Efficacy of EPSS in High Severity CVEs found in KEV [0.0]
  Exploit Prediction Scoring System (EPSS)は、今後30日間で悪用される脆弱性の確率を評価するように設計されている。 本研究は、EPSSが脆弱性が積極的に侵害される前に、エクスプロイトを予測する能力を評価する。
  論文  参考訳（メタデータ） (2024-11-04T21:12:58Z)
• An Empirical Study of Static Analysis Tools for Secure Code Review [14.134803943492345]
  静的アプリケーションセキュリティテストツール(SAST)は、セキュリティ問題の識別を強化する可能性がある。 ほとんどのSAST研究は、対象プログラムの合成または完全に脆弱なバージョンに依存している。 我々は、悪用可能な脆弱性に寄与する実際のコード変更のデータセットを使用して、C/C++ SASTを調査する。
  論文  参考訳（メタデータ） (2024-07-17T01:15:39Z)
• What Can Self-Admitted Technical Debt Tell Us About Security? A Mixed-Methods Study [6.286506087629511]
  自己充足型技術的負債(SATD) 潜在的に悪用可能な脆弱性や セキュリティ上の欠陥に関する 恐ろしい情報源と見なすことができます 本研究は、SATDのセキュリティへの影響を、技術と開発者中心の観点から検討する。
  論文  参考訳（メタデータ） (2024-01-23T13:48:49Z)
• A Survey and Comparative Analysis of Security Properties of CAN Authentication Protocols [92.81385447582882]
  コントロールエリアネットワーク(CAN)バスは車内通信を本質的に安全でないものにしている。 本稿では,CANバスにおける15の認証プロトコルをレビューし,比較する。 実装の容易性に寄与する本質的な運用基準に基づくプロトコルの評価を行う。
  論文  参考訳（メタデータ） (2024-01-19T14:52:04Z)
• Autosploit: A Fully Automated Framework for Evaluating the Exploitability of Security Vulnerabilities [47.748732208602355]
  Autosploitは脆弱性の悪用性を評価するためのフレームワークだ。 環境の異なる設定でエクスプロイトを自動的にテストする。 ノイズレス環境とノイズの多い環境の両方で脆弱性を悪用する能力に影響を与えるシステムの特性を識別することができる。
  論文  参考訳（メタデータ） (2020-06-30T18:49:18Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。