Browsing by Author "Sequeira, Fernando"
Now showing 1 - 3 of 3
Results Per Page
Sort Options
- Cyber-vulnerabilities life cycle and risk assessmentPublication . Pestana, Pedro Duarte; Rocha, Maria Luísa; Sequeira, Fernando; Lovric, MiodragCyber-Vulnerabilities Life Cycle and Risk Assessment - Dictionary Entry
- Metrologia e a transição digital: medição da severidade de vulnerabilidades e risco de exploraçãoPublication . Brilhante, Maria de Fátima; Pestana, Dinis; Pestana, Pedro Duarte; Rocha, Maria Luísa; Sequeira, FernandoA transição digital torna desejável normalizar a medição do risco associado às vulnerabilidades, fundamental para a priorização das necessidades de remediação ou mitigação, seja patch ou workaround, e é um desafio para a evolução da Metrologia no que se refere a meios auxiliares de medições virtuais. Torna também desejável aperfeiçoar as métricas usadas e sua utilização, nomeadamente no que se re- fere a reavaliação, se possível automática, da remediação do risco ao longo do tempo após descoberta e divulgação da vulnerabilidade. O CVSS — Common Vulnerability Scoring System usa métricas base, métricas temporais e métricas ambientais para calcular scores com o objetivo de priorizar as necessidades de correção das vulnerabilidades. Porém é estático, as métricas temporais, facultativas e pouco usadas, não estão preparadas para lhe conferir potencialidades dinâmicas, que são o ponto forte do EPSS — Exploit Prediction Scoring System, que surgiu em 2021. Fazemos uma avaliação crítica da evolução da versão 2 para a versão 3.1 do CVSS e de propostas de alteração das suas métricas temporais no desiderato de tornar o sistema dinâmico. O enquadramento de variáveis do ciclo de vida de vulnerabilidades na teoria dos valores extremos, eventualmente sujeitos a filtragem geométrica, sugere modelações alternativas (Geral de Valores Extremos, Pareto Generalizada, Log-logística) ao tradicional ajustamento com Pareto ou com Lognormal na procura de metodologias racionais de alteração do cálculo de modificações da pontuação do CVSS. Por outro lado abordamos a possibilidade de usar aprendizagem de máquina para reavaliação simples da medição da severidade ao longo do tempo
- Risk assessment of vulnerabilities exploitationPublication . Brilhante, Maria de Fátima; Pestana, Pedro Duarte; Rocha, Maria Luísa; Sequeira, Fernando; Henriques-Rodrigues, L.; Menezes, R.; Faria, S.Using the Kolmogorov–Smirnov, Cramér–von Mises and Anderson– Darling tests, and the not so commonly applied Vuong’s test, it is shown that a two components hyperlog-logistic distribution, i.e., a mixture of two geo-max-stable log-logistic distributions, provides a good fit for the time from disclosure to update of vulnerabilities sampled from the CVEdetails.com database. It is also shown that the hyperlog-logistic distribution provides a better fit than a heavy-tailed distribution of maxima, or a log-logistic distribution, or even a heavy-tailed two components hyperexponential distribution. Moreover, ways of incorporating uncertainty and of modeling vulnerabilities lifecycle into the Common Vulnerabilities Scoring System (CVSS), the most widely used score to assess severity of vulnerabilities, are discussed, in order to obtain an improved CVSS calculator and the evolution of a score over time.