論文の概要: Bridging the Gap Between Security Metrics and Key Risk Indicators: An Empirical Framework for Vulnerability Prioritization
- arxiv url: http://arxiv.org/abs/2603.12450v1
- Date: Thu, 12 Mar 2026 21:05:22 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-16 17:38:11.762968
- Title: Bridging the Gap Between Security Metrics and Key Risk Indicators: An Empirical Framework for Vulnerability Prioritization
- Title(参考訳): セキュリティメトリクスとキーリスク指標のギャップを埋める - 脆弱性優先順位付けのための実証的フレームワーク
- Authors: Emad Sherif, Iryna Yevseyeva, Vitor Basto-Fernandes, Allan Cook,
- Abstract要約: 本稿では,予測損失分解に基づく複合リスク指標を提案する。
我々はKRIフレームワークをKnown Exploited Vulnerabilities (KEV)カタログと比較した。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by-nc-nd/4.0/
- Abstract: Organisations overwhelmingly prioritize vulnerability remediation using Common Vulnerability Scoring System (CVSS) severity scores, yet CVSS classifiers achieve an Area Under the Precision-Recall Curve (AUPRC) of 0.011 on real-world exploitation data, near random chance. We propose a composite Key Risk Indicator grounded in expected-loss decomposition, integrating dimensions of threat, impact, and exposure. We evaluated the KRI framework against the Known Exploited Vulnerabilities (KEV) catalog using a comprehensive dataset of 280,694 Common Vulnerabilities and Exposures (CVEs). KRI achieves Receiver Operating Characteristic Area Under the Curve (ROC-AUC) 0.927 and AUPRC 0.223 versus 0.747 and 0.011 for CVSS (24 percents, 20). Ablation analysis shows Exploit Prediction Scoring System (EPSS) alone achieves AUPRC 0.365, higher than full KRI (0.223), confirming that EPSS and KRI serve distinct objectives: EPSS maximizes raw exploit detection, while KRI re-orders by impact and exposure, capturing 92.3 percents of impact-weighted remediation value at k=500 versus 82.6 percents for EPSS, and surfacing 1.75 more Critical-severity exploited CVEs. KRI's net benefit exceeds EPSS whenever the severity premium exceeds 2. While EPSS serves as a robust baseline for exploit detection, the KRI framework is the superior choice for organizations seeking to align remediation efforts with tangible risk reduction.
- Abstract(参考訳): 組織は、CVSS(Common Vulnerability Scoring System)の重症度スコアを使用して脆弱性修復を圧倒的に優先順位付けするが、CVSS分類器は実世界の悪用データに対して0.011の精度-リコール曲線(AUPRC)のエリアをランダムな確率で達成する。
本稿では, 予測損失分解を基礎として, 脅威, 影響, 暴露の次元を結合した複合的リスク指標を提案する。
我々は,KRIフレームワークを,CVE(Common Vulnerabilities and Exposures)の総合データセットを用いて,KEV(Known Exploited Vulnerabilities)カタログと比較した。
KRI は CVSS (24%, 20) に対して、ROC-AUC 0.927 と AUPRC 0.223 に対して 0.747 と 0.011 を達成する。
EPSSは生のエクスプロイト検出を最大化し、KRIは衝撃と露出によって再注文し、k=500対82.6%で衝突重み付けされた修復値の92.3%、EPSSは1.75以上の臨界重み付けされたCVEを上回ります。
KRIの純利益は、重度プレミアムが2.5%を超えるとEPSSを超える。
EPSSは、エクスプロイト検出のための堅牢なベースラインとして機能する一方で、KRIフレームワークは、修正作業と具体的なリスク低減との整合を図る組織にとって、優れた選択肢である。
関連論文リスト
- On the Generalization and Robustness in Conditional Value-at-Risk [12.253712889424584]
重み付き汚染データに基づく条件付きリスク最小化(CVaR)の学習理論的解析法を開発した。
極小モーメント仮定の下で、鋭く高確率な一般化と過剰なリスク境界を確立する。
CVaR決定自体が本質的に不安定であることを示す。
論文 参考訳(メタデータ) (2026-02-20T08:10:11Z) - NAACL: Noise-AwAre Verbal Confidence Calibration for LLMs in RAG Systems [53.52419750390942]
大型言語モデル(LLM)はミッションクリティカルな事実領域で使用される。
LLMのキャリブレーション性能は, ノイズが回復した状況によって低下する。
我々は、ノイズ下での過信を解決するための原則的基盤を提供するため、NAACLルール(Noise-AwAre Confidence CaLibration Rules)を提案する。
論文 参考訳(メタデータ) (2026-01-16T05:38:25Z) - RiskBridge: Turning CVEs into Business-Aligned Patch Priorities [3.6488302880818364]
RiskBridgeは、説明とコンプライアンスを意識したヴァルナー能力管理フレームワークである。
CVSS v4、EPSS、CISA KEVからのマルチソースインテリジェンスを統合し、動的でビジネス対応のパッチ優先順位を生成する。
論文 参考訳(メタデータ) (2026-01-08T09:41:17Z) - ASDA: Audio Spectrogram Differential Attention Mechanism for Self-Supervised Representation Learning [57.67273340380651]
実験の結果,ASDAモデルは複数のベンチマークでSOTA(State-of-the-art)性能を達成できた。
これらの結果は、ASDAの音声タスクにおける有効性を強調し、より広範なアプリケーションへの道を開いた。
論文 参考訳(メタデータ) (2025-07-03T14:29:43Z) - Vulnerability Management Chaining: An Integrated Framework for Efficient Cybersecurity Risk Prioritization [0.0]
本稿では、効率的な脆弱性優先順位付けを実現するための決定木フレームワークである脆弱性管理チェーンを提案する。
まず、KEVメンバシップまたはEPSSしきい値0.088ドルを使用して脅威ベースのフィルタリングを適用し、次にCVSSスコア$geq$7.0)を用いて脆弱性重大度評価を適用し、情報的優先順位付けを可能にする。
論文 参考訳(メタデータ) (2025-06-02T00:06:54Z) - Efficacy of EPSS in High Severity CVEs found in KEV [0.0]
Exploit Prediction Scoring System (EPSS)は、今後30日間で悪用される脆弱性の確率を評価するように設計されている。
本研究は、EPSSが脆弱性が積極的に侵害される前に、エクスプロイトを予測する能力を評価する。
論文 参考訳(メタデータ) (2024-11-04T21:12:58Z) - Unveiling Vulnerabilities of Contrastive Recommender Systems to Poisoning Attacks [48.911832772464145]
コントラスト学習(CL)は近年,レコメンダシステムの領域で注目されている。
本稿では,CLをベースとしたレコメンデータシステムの脆弱性を明らかにする。
論文 参考訳(メタデータ) (2023-11-30T04:25:28Z) - Risk-Constrained Thompson Sampling for CVaR Bandits [82.47796318548306]
CVaR(Conditional Value at Risk)として知られる量的ファイナンスにおける一般的なリスク尺度について考察する。
本稿では,トンプソンサンプリングに基づくCVaR-TSアルゴリズムの性能について検討する。
論文 参考訳(メタデータ) (2020-11-16T15:53:22Z) - Learning Bounds for Risk-sensitive Learning [86.50262971918276]
リスクに敏感な学習では、損失のリスク・アバース(またはリスク・シーキング)を最小化する仮説を見つけることを目的としている。
最適化された確実性等価性によって最適性を記述するリスク感応学習スキームの一般化特性について検討する。
論文 参考訳(メタデータ) (2020-06-15T05:25:02Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。