Onderzoekers van het Amerikaanse National Institute of Standards and Technology (NIST) en het Amerikaanse cyberagentschap CISA hebben een methode gepresenteerd die de kans berekent dat een kwetsbaarheid is misbruikt. Dit moet organisaties helpen bij het prioriteren van beveiligingsupdates. Volgens de onderzoekers wordt slechts een klein deel van de tienduizenden kwetsbaarheden die jaarlijks worden gevonden misbruikt bij aanvallen.

Het voorspellen bij welke kwetsbaarheden dit het geval is kan het patchproces van organisaties kosteneffectiever en efficiënter maken. De onderzoekers wijzen naar onderzoek waaruit blijkt dat vijf procent van de beveiligingslekken daadwerkelijk wordt misbruikt. Bedrijven zouden maandelijks zestien procent van de kwetsbaarheden in hun systemen patchen. De onderzoekers stellen dat dit percentage zo laag is omdat het kostbaar is voor bedrijven om beveiligingslekken te verhelpen. Het gaat dan onder andere om het testen en uitrollen van mitigaties.

Het Exploit Prediction Scoring System (EPSS) is een eerder ontwikkelde methode die de kans berekent dat een kwetsbaarheid binnen dertig dagen na bekendmaking wordt misbruikt. Van deze methode is echter bekend dat die onnauwkeurigheden bevat. Daarnaast zijn er overzichten van bekend misbruikte kwetsbaarheden waarvan is vastgesteld dat ze bij aanvallen zijn toegepast. Deze overzichten zijn echter niet alomvattend.

De onderzoekers van het NIST en CISA hebben nu de 'Likely Exploited Vulnerabilities' methode bedacht. Die dient als aanvulling op het EPSS en zogenoemde Known Exploited Vulnerability (KEV) lijsten. De Likely Exploited Vulnerabilities is gebaseerd op historische EPSS-scores. Dit resulteert vervolgens in een kans dat een beveiligingslek is misbruikt. De uitkomst kan bedrijven helpen met het bepalen van de belangrijkste beveiligingslekken en het verminderen van cybersecurityrisico's, aldus de onderzoekers. Die voegen toe dat samenwerking met de industrie nog is om vast te stellen hoe nauwkeurig het nieuwe model in de praktijk is.