Publication
Metrologia e a transição digital: medição da severidade de vulnerabilidades e risco de exploração
| datacite.subject.fos | Ciências Naturais::Ciências da Computação e da Informação | |
| dc.contributor.author | Brilhante, Maria de Fátima | |
| dc.contributor.author | Pestana, Dinis | |
| dc.contributor.author | Pestana, Pedro Duarte | |
| dc.contributor.author | Rocha, Maria Luísa | |
| dc.contributor.author | Sequeira, Fernando | |
| dc.date.accessioned | 2026-01-08T15:07:31Z | |
| dc.date.available | 2026-01-08T15:07:31Z | |
| dc.date.issued | 2025 | |
| dc.description.abstract | A transição digital torna desejável normalizar a medição do risco associado às vulnerabilidades, fundamental para a priorização das necessidades de remediação ou mitigação, seja patch ou workaround, e é um desafio para a evolução da Metrologia no que se refere a meios auxiliares de medições virtuais. Torna também desejável aperfeiçoar as métricas usadas e sua utilização, nomeadamente no que se re- fere a reavaliação, se possível automática, da remediação do risco ao longo do tempo após descoberta e divulgação da vulnerabilidade. O CVSS — Common Vulnerability Scoring System usa métricas base, métricas temporais e métricas ambientais para calcular scores com o objetivo de priorizar as necessidades de correção das vulnerabilidades. Porém é estático, as métricas temporais, facultativas e pouco usadas, não estão preparadas para lhe conferir potencialidades dinâmicas, que são o ponto forte do EPSS — Exploit Prediction Scoring System, que surgiu em 2021. Fazemos uma avaliação crítica da evolução da versão 2 para a versão 3.1 do CVSS e de propostas de alteração das suas métricas temporais no desiderato de tornar o sistema dinâmico. O enquadramento de variáveis do ciclo de vida de vulnerabilidades na teoria dos valores extremos, eventualmente sujeitos a filtragem geométrica, sugere modelações alternativas (Geral de Valores Extremos, Pareto Generalizada, Log-logística) ao tradicional ajustamento com Pareto ou com Lognormal na procura de metodologias racionais de alteração do cálculo de modificações da pontuação do CVSS. Por outro lado abordamos a possibilidade de usar aprendizagem de máquina para reavaliação simples da medição da severidade ao longo do tempo | por |
| dc.identifier.citation | Brilhante, M.F., Pestana, D., Pestana, P.D., Rocha, M.L., Santana, M. & Sequeira, F. (2023). Metrologia e a Transição Digital: Medição da Severidade de Vulnerabilidades e Risco de Exploração. Medições e Ensaios, n 17, 4-35, SPMET. | |
| dc.identifier.issn | 2182-5424 | |
| dc.identifier.uri | http://hdl.handle.net/10400.2/20708 | |
| dc.language.iso | por | |
| dc.peerreviewed | yes | |
| dc.publisher | SPMET | |
| dc.rights.uri | N/A | |
| dc.subject | Vulnerabilidades | |
| dc.subject | CVSS | |
| dc.subject | Métricas CVSS | |
| dc.subject | EPSS | |
| dc.subject | Risco de Exploração | |
| dc.subject | Ciclo de Vida de Vulnerabilidades | |
| dc.title | Metrologia e a transição digital: medição da severidade de vulnerabilidades e risco de exploração | por |
| dc.type | journal article | |
| dspace.entity.type | Publication | |
| oaire.citation.endPage | 35 | |
| oaire.citation.issue | 17 | |
| oaire.citation.startPage | 4 | |
| oaire.citation.title | Medições e Ensaios | |
| oaire.version | http://purl.org/coar/version/c_970fb48d4fbd8a85 | |
| person.affiliation.name | Universidade Aberta | |
| person.familyName | Pestana | |
| person.givenName | Pedro Duarte | |
| person.identifier.ciencia-id | 2714-8A7B-5CCA | |
| person.identifier.orcid | 0000-0002-3406-1077 | |
| person.identifier.rid | E-7273-2016 | |
| person.identifier.scopus-author-id | 56074016300 | |
| relation.isAuthorOfPublication | 755592cd-7905-4c94-9eba-1bb83ce10355 | |
| relation.isAuthorOfPublication.latestForDiscovery | 755592cd-7905-4c94-9eba-1bb83ce10355 |