Logo do repositório
 
Miniatura
Publicação

Metrologia e a transição digital: medição da severidade de vulnerabilidades e risco de exploração

2025Artigo científico Acesso restrito
http://hdl.handle.net/10400.2/20708
Utilize este identificador para referenciar este registo.
Nome:Descrição:Tamanho:Formato: 
MedicaoRisco_pub.pdf4.42 MBAdobe PDF Ver/Abrir

Autores

Brilhante, Maria de Fátima
Pestana, Dinis
Rocha, Maria Luísa
Sequeira, Fernando

Orientador(es)

Resumo(s)

A transição digital torna desejável normalizar a medição do risco associado às vulnerabilidades, fundamental para a priorização das necessidades de remediação ou mitigação, seja patch ou workaround, e é um desafio para a evolução da Metrologia no que se refere a meios auxiliares de medições virtuais. Torna também desejável aperfeiçoar as métricas usadas e sua utilização, nomeadamente no que se re- fere a reavaliação, se possível automática, da remediação do risco ao longo do tempo após descoberta e divulgação da vulnerabilidade. O CVSS — Common Vulnerability Scoring System usa métricas base, métricas temporais e métricas ambientais para calcular scores com o objetivo de priorizar as necessidades de correção das vulnerabilidades. Porém é estático, as métricas temporais, facultativas e pouco usadas, não estão preparadas para lhe conferir potencialidades dinâmicas, que são o ponto forte do EPSS — Exploit Prediction Scoring System, que surgiu em 2021. Fazemos uma avaliação crítica da evolução da versão 2 para a versão 3.1 do CVSS e de propostas de alteração das suas métricas temporais no desiderato de tornar o sistema dinâmico. O enquadramento de variáveis do ciclo de vida de vulnerabilidades na teoria dos valores extremos, eventualmente sujeitos a filtragem geométrica, sugere modelações alternativas (Geral de Valores Extremos, Pareto Generalizada, Log-logística) ao tradicional ajustamento com Pareto ou com Lognormal na procura de metodologias racionais de alteração do cálculo de modificações da pontuação do CVSS. Por outro lado abordamos a possibilidade de usar aprendizagem de máquina para reavaliação simples da medição da severidade ao longo do tempo

Descrição

Palavras-chave

Vulnerabilidades CVSS Métricas CVSS EPSS Risco de Exploração Ciclo de Vida de Vulnerabilidades

URI

http://hdl.handle.net/10400.2/20708

Contexto Educativo

Citação

Brilhante, M.F., Pestana, D., Pestana, P.D., Rocha, M.L., Santana, M. & Sequeira, F. (2023). Metrologia e a Transição Digital: Medição da Severidade de Vulnerabilidades e Risco de Exploração. Medições e Ensaios, n 17, 4-35, SPMET.

Projetos de investigação

Unidades organizacionais

Fascículo

Editora

SPMET

Coleções

Ciências e Tecnologia | Artigos em revistas nacionais / Papers in national journals

Licença CC

Sem licença CC