美國國家標準與技術研究院（NIST）近日公布了一項突破性的安全指標，旨在評估哪些軟件漏洞可能已被利用——即使相關組織尚未察覺。

這項由前NIST專家Peter Mell和網絡安全與基礎設施安全局（CISA）Jonathan Spring共同完成的研究成果《可能被利用的漏洞：漏洞利用概率的擬議指標》（NIST CSWP 41）于2025年5月19日發布，填補了漏洞管理領域的關鍵空白。研究顯示，已知漏洞中僅有約5%會被實際利用，而企業通常每月僅能修復16%的漏洞，新方法將幫助安全團隊更有效地確定修復優先級。

現有漏洞評估體系的局限性

當前漏洞管理主要依賴兩種存在明顯缺陷的方法：

• 漏洞利用預測評分系統（EPSS）：預測未來30天內漏洞被利用的可能性，但其模型"刻意排除了歷史漏洞利用數據作為輸入參數"，導致"無法識別過去已被利用的漏洞，造成評分失準"。
• 已知被利用漏洞清單（KEV）：記錄確認被利用的漏洞，但"可能不夠全面，且在此研究之前缺乏衡量其覆蓋范圍的計量方法"。

這種預測與確認之間的脫節形成了漏洞優先級排序的關鍵缺口，而新型LEV指標正是為解決這一問題而生。

可能被利用漏洞（LEV）指標詳解

LEV指標建立在數學模型基礎上，通過累加EPSS分數隨時間的變化來計算累積利用概率。研究提出了兩種計算變體：LEV和LEV2。

基礎公式LEV(v, d?, d?) ≥ 1 – ∏(1-epss(v, d?) × weight(d?, d?, 30))將EPSS分數作為30天窗口預測因子，計算資源需求較低。更精細的LEV2變體將EPSS分數除以30視為單日覆蓋值，對分數變化響應更靈敏，但需要顯著更強的處理能力。兩種方法都提供隨著數據點增加而改進的下限估計值。

四大突破性管理能力

LEV指標為安全團隊提供了前所未有的四種關鍵能力：

• 通過Expected_Exploited()方程首次實現被利用CVE預期比例的量化測量
• 通過KEV_Exploited()方程開創性地評估KEV清單的全面性
• 識別當前未列入KEV清單的高風險CVE，實證數據顯示存在"數百個概率接近1.0卻未被列入清單"的漏洞
• 提供融合"預測數據、已知信息和統計推斷"的復合方法，建立更具防御性的優先級策略

對行業實踐的深遠影響

LEV指標標志著漏洞管理數學方法的重大進步，其設計初衷并非取代而是補充現有工具。NIST甚至提供了將LEV與現有方法整合的復合方程，使組織能更全面地掌握漏洞態勢。

面對漏洞數量遠超修復能力的現實困境（組織通常僅能處理16%的漏洞，而真正關鍵的漏洞僅占5%），這一新型數學方法有望幫助彌合兩者間的巨大鴻溝。