Vulnerability Management Chaining: An Integrated Framework for Efficient Cybersecurity Risk Prioritization

Este artigo apresenta o "Vulnerability Management Chaining", um novo framework baseado em árvores de decisão que integra os sistemas CVSS, EPSS e KEV para otimizar a priorização de vulnerabilidades, demonstrando uma melhoria de 18 vezes na eficiência e uma redução de 95% na carga de trabalho de correção urgente enquanto mantém 85,6% de cobertura de riscos reais.

O essencial

Imagine que você é o zelador de um prédio gigante com milhões de portas, janelas e fechaduras. De repente, um relatório diário chega dizendo que 28.000 dessas fechaduras estão quebradas ou defeituosas.

Se você tentar consertar todas as 28.000 imediatamente, vai ficar exausto, gastar todo o seu dinheiro e, provavelmente, não conseguirá proteger o prédio de verdade. É assim que as equipes de segurança cibernética se sentem hoje.

Este artigo apresenta uma solução inteligente chamada "Corrente de Gerenciamento de Vulnerabilidades" (Vulnerability Management Chaining). Em vez de tentar consertar tudo ao mesmo tempo, eles criaram um filtro de triagem para decidir o que é urgente e o que pode esperar.

Aqui está a explicação simples, usando analogias do dia a dia:

1. O Problema: O "Grito Falso" das Alarmes

Antigamente, as empresas usavam um sistema chamado CVSS. Pense nele como um medidor de "potencial de dano".

• A analogia: É como um alarme de incêndio que toca sempre que alguém abre uma janela, mesmo que não haja fogo. O sistema diz: "Isso é perigoso!" para quase tudo.
• O resultado: A equipe de segurança recebe milhares de alertas "Críticos" todos os dias. Eles tentam apagar todos os "incêndios", mas acabam ignorando os que realmente estão queimando porque estão sobrecarregados.

2. As Duas Novas Ferramentas (KEV e EPSS)

Os autores do artigo trouxeram duas novas ferramentas para ajudar a filtrar o ruído:

• KEV (Catálogo de Vulnerabilidades Exploradas):

  • A analogia: É como uma lista de ladrões conhecidos que já foram pegos tentando arrombar portas específicas. Se o seu nome está na lista, eles sabem que aquele ladrão está ativo agora.
  • Vantagem: Alta certeza. Se está na lista, é perigo real.
  • Desvantagem: Só lista o que já aconteceu. Se um novo ladrão aparecer amanhã, ele ainda não estará na lista.

• EPSS (Sistema de Previsão de Exploração):

  • A analogia: É como um meteorologista que prevê a probabilidade de chover (ou de um ladrão atacar) nos próximos 30 dias. Ele usa inteligência artificial para analisar padrões.
  • Vantagem: Antecipa o perigo antes que ele aconteça.
  • Desvantagem: Pode errar. Às vezes diz que vai chover e o sol brilha (falso alarme), ou diz que vai fazer sol e vem uma tempestade (falta de alerta).

3. A Solução: A "Corrente" (O Filtro em Duas Etapas)

A grande ideia do artigo é não usar apenas uma dessas ferramentas, mas conectá-las como uma corrente de decisão (um fluxo de trabalho). Eles criaram uma árvore de decisão simples:

Passo 1: O Filtro de "Perigo Real" (A Pergunta do Ladrão)

• Pergunta: "Esse defeito está na lista de ladrões conhecidos (KEV) OU o meteorologista (EPSS) diz que há uma chance alta de ataque?"
• Se NÃO: O problema é ignorado por enquanto. Ele vai para a fila normal de manutenção (como trocar a lâmpada queimada no próximo mês). Isso elimina cerca de 95% do trabalho urgente!
• Se SIM: O problema passa para o próximo filtro.

Passo 2: O Filtro de "Gravidade" (A Pergunta do Dano)

• Pergunta: "Se esse defeito for explorado, o estrago será grande? (Nota de gravidade alta, acima de 7.0)."
• Se NÃO: O problema é monitorado, mas não precisa de uma equipe de emergência.
• Se SIM: ALERTA MÁXIMO! Conserte isso agora mesmo.

4. Por que isso é genial? (A Magia da Combinação)

O artigo mostra que usar apenas o "Ladrão Conhecido" (KEV) ou apenas o "Meteorologista" (EPSS) deixa buracos na segurança.

• Às vezes, um ladrão conhecido ataca uma porta que o meteorologista não previu.
• Às vezes, o meteorologista prevê um ataque novo que ainda não está na lista dos ladrões conhecidos.

A Descoberta: Ao usar os dois juntos, eles encontraram 48 vulnerabilidades exploradas que nenhum dos dois sistemas teria encontrado sozinho. É como ter dois guardas vigiando: um olha para trás (histórico) e o outro olha para frente (previsão). Juntos, eles cobrem mais terreno.

5. O Resultado Final

Ao aplicar essa "Corrente" de decisão:

• Eficiência: A equipe foca apenas no que realmente importa. Em vez de tentar consertar 16.000 coisas, eles focam em cerca de 850.
• Redução de Trabalho: O trabalho urgente cai em 95%.
• Segurança: Eles continuam protegendo 85% de todos os ataques reais que acontecem no mundo.
• Custo: Tudo isso usa dados gratuitos e abertos. Não precisa comprar softwares caros.

Resumo em uma frase

Em vez de tentar apagar todos os incêndios imaginários, essa metodologia ensina as empresas a olhar para quem já está tentando entrar (KEV) e quem provavelmente vai tentar (EPSS), e só então verificar se a porta é de ouro (CVSS), permitindo que a equipe de segurança durma tranquila sabendo que os perigos reais estão sendo tratados.

Resumo técnico

Aqui está um resumo técnico detalhado do artigo "Vulnerability Management Chaining: An Integrated Framework for Efficient Cybersecurity Risk Prioritization" (Gerenciamento de Vulnerabilidades em Cadeia: Um Framework Integrado para Priorização Eficiente de Riscos Cibernéticos), apresentado em português.

---

1. O Problema

O gerenciamento de vulnerabilidades enfrenta uma crise de escala devido ao crescimento exponencial de vulnerabilidades divulgadas (CVEs). As equipes de segurança estão sobrecarregadas e incapazes de remediar todas as falhas, tornando a priorização crítica.

As abordagens atuais apresentam limitações significativas:

• CVSS (Common Vulnerability Scoring System): Foca na severidade teórica, não na probabilidade de exploração real. Isso gera um volume esmagador de vulnerabilidades classificadas como "Críticas" ou "Altas", muitas das quais nunca são exploradas, desperdiçando recursos.
• KEV (Known Exploited Vulnerabilities): Catálogo da CISA baseado em evidências de exploração confirmada. É altamente confiável, mas reativo (só inclui falhas após a exploração ser confirmada) e tem cobertura limitada a ameaças públicas.
• EPSS (Exploit Prediction Scoring System): Usa machine learning para prever a probabilidade de exploração em 30 dias. É proativo, mas é um modelo probabilístico que pode gerar falsos positivos e negativos, e pode não capturar padrões de ataque novos ou específicos.

Nenhuma dessas metodologias isoladamente oferece uma visão completa, levando a ineficiências operacionais e riscos de segurança.

2. Metodologia: Vulnerability Management Chaining (VMC)

Os autores propõem o Vulnerability Management Chaining (VMC), um framework baseado em árvore de decisão que integra sistematicamente CVSS, EPSS e KEV em um processo de duas etapas. O objetivo é filtrar primeiro pela ameaça (probabilidade de exploração) e depois pela severidade (impacto).

Estrutura da Árvore de Decisão:

1. Fase 1: Filtragem Baseada em Ameaças (Threat-Based Filtering)

   • O sistema verifica se a vulnerabilidade está no catálogo KEV (exploração confirmada).
   • Se não estiver no KEV, verifica se a pontuação EPSS é $\ge 0.088$ (limiar otimizado para equilíbrio entre eficiência e cobertura).
   • Resultado: Se a vulnerabilidade falhar em ambos os testes, ela é classificada como "Deferir" (agendada para ciclos de correção padrão), reduzindo drasticamente a carga de trabalho.

2. Fase 2: Avaliação de Severidade (Severity Assessment)

   • Para as vulnerabilidades que passaram na Fase 1, avalia-se a pontuação CVSS Base.
   • Se CVSS $\ge 7.0$: A vulnerabilidade é priorizada para ação imediata ou agendada.
   • Se CVSS < 7.0: A vulnerabilidade é classificada para "Monitorar" (rastrear mudanças no cenário de ameaças), permitindo o desvio de recursos de falhas de baixo impacto que, embora exploradas, têm consequências limitadas.

Categorias de Prioridade Resultantes:

• Crítica: KEV + CVSS $\ge 7.0$ (Remediação imediata, dias).
• Alta: EPSS $\ge 0.088$ + CVSS $\ge 7.0$ (Remediação agendada, 2-4 semanas).
• Monitorar: KEV ou EPSS alto, mas CVSS < 7.0 (Rastreamento).
• Deferir: Sem evidência de ameaça (Ciclo padrão).

3. Contribuições Principais

• Framework Integrado: Primeiro método sistemático que combina avaliação de severidade técnica (CVSS), inteligência preditiva (EPSS) e evidência confirmada (KEV) em uma única lógica de decisão.
• Validação Empírica: O estudo utilizou um conjunto de dados real de 28.377 CVEs publicados em 13 meses (abril/2022 a abril/2023) e dados de exploração confirmada de relatórios de fornecedores de segurança.
• Acessibilidade Total: O framework utiliza exclusivamente dados de código aberto (NVD, CISA KEV, FIRST EPSS), eliminando a necessidade de assinaturas caras de inteligência de ameaças proprietárias.
• Descoberta de Lacunas de Cobertura: Identificou que a integração de KEV e EPSS captura vulnerabilidades exploradas que nenhum dos dois métodos isoladamente detectaria.

4. Resultados Experimentais

A validação comparou o VMC contra três baselines: CVSS $\ge 7.0$, KEV apenas e EPSS apenas ($\ge 0.088$).

• Eficiência (Proporção de vulnerabilidades priorizadas que foram realmente exploradas):

  • CVSS: 0.5% (Extremamente ineficiente).
  • KEV Apenas: 74.3% (Alta precisão, mas baixa cobertura).
  • EPSS Apenas: 4.9%.
  • VMC (Proposto): 9.1%.
  • Melhoria: O VMC oferece uma melhoria de 18 vezes na eficiência em relação ao CVSS tradicional.

• Cobertura (Proporção de vulnerabilidades exploradas que foram capturadas pelo método):

  • CVSS: 90.0%.
  • KEV Apenas: 86.7%.
  • VMC (Proposto): 85.6%.
  • Conclusão: O VMC mantém uma cobertura quase equivalente ao CVSS (que prioriza tudo), mas com uma fração mínima do volume de trabalho.

• Redução de Carga de Trabalho:

  • O framework permite que as organizações reduzam a carga de trabalho de remediação urgente em aproximadamente 95% (de 16.182 para ~850 vulnerabilidades), mantendo a segurança contra a maioria das ameaças reais.

• Valor da Integração:

  • A combinação de KEV e EPSS identificou 48 vulnerabilidades exploradas adicionais (53,3% do conjunto de dados de relatórios de fornecedores) que nenhum dos métodos isolados teria capturado. Isso valida a hipótese de que as fontes de inteligência são complementares.

5. Significado e Implicações

• Mudança de Paradigma Operacional: O estudo demonstra que é possível abandonar a abordagem de "correr atrás de todas as vulnerabilidades de alto CVSS" e adotar uma abordagem baseada em risco real (ameaça + impacto).
• Otimização de Recursos: Ao focar apenas nas ~5% das vulnerabilidades que representam ameaças reais e de alto impacto, as equipes de segurança podem alocar recursos para análise profunda, validação de controles compensatórios e resposta a incidentes, em vez de apenas aplicar patches em massa.
• Democratização da Segurança: Como o método depende apenas de dados gratuitos, organizações de todos os tamanhos e orçamentos podem implementar essa priorização avançada sem barreiras financeiras.
• Resiliência Futura: A estrutura de árvore de decisão é flexível, permitindo a incorporação de novos limiares ou fontes de inteligência (como novas versões do EPSS ou LEV da NIST) sem alterar a arquitetura fundamental.

Em resumo, o Vulnerability Management Chaining oferece uma solução prática, validada empiricamente e economicamente acessível para resolver o problema da sobrecarga de vulnerabilidades, permitindo que as organizações priorizem o que realmente importa: as falhas que estão sendo exploradas ou têm alta probabilidade de sê-lo, com alto impacto.