DOI: https://doi.org/10.1109/access.2026.3665768
تاريخ النشر: 2026-01-01
المؤلف: Zhenyun Du وآخرون
الموضوع الرئيسي: أمن المعلومات والأمن السيبراني
نظرة عامة
تقدم البحث إطار عمل جديد يسمى إدارة ضعف السلسلة، مصمم لتعزيز أولوية الثغرات في مواجهة الزيادة الأسية في الثغرات المعروفة والتعرضات (CVE). غالبًا ما تؤدي الطرق التقليدية، مثل نظام تسجيل الثغرات الشائعة (CVSS)، إلى إنتاج ثغرات ذات أولوية عالية بشكل مفرط، بينما توفر أنظمة توقع الاستغلال (EPSS) وفهارس الثغرات المعروفة المستغلة (KEV) رؤى محدودة حول مخاطر الاستغلال الفعلية. يستخدم الإطار المقترح عملية تقييم من مرحلتين: حيث يقوم أولاً بتصفية التهديدات بناءً على عضوية KEV أو عتبة EPSS من ≥ 0.088، تليها تقييم الشدة باستخدام درجات CVSS من ≥ 7.0.
تشير التحقق التجريبي على 28,377 ثغرة في العالم الحقيقي إلى أن هذه الطريقة تحقق زيادة بمقدار 18 ضعفًا في الكفاءة مع الحفاظ على معدل تغطية يبلغ 85.6%. يمكن للمنظمات تقليل عبء العمل العاجل للإصلاح بنسبة تقارب 95%. ومن الجدير بالذكر أن دمج هذه المنهجيات يكشف عن 48 ثغرة مستغلة إضافية لم يتم التعرف عليها بواسطة KEV أو EPSS بمفردهما. يعتمد الإطار فقط على البيانات مفتوحة المصدر، مما يسهل التنفيذ الفوري عبر سياقات تنظيمية متنوعة. بشكل عام، يتناول هذا البحث تحديًا كبيرًا في الأمن السيبراني من خلال إثبات أن أولوية الثغرات الفعالة يمكن تحقيقها من خلال الدمج المنهجي لمصادر المعلومات المتنوعة.
مقدمة
تسلط المقدمة الضوء على التحدي العاجل لإدارة الثغرات في مواجهة التهديدات المتزايدة بسرعة في الأمن السيبراني والطبيعة المعقدة للبنى التحتية لتكنولوجيا المعلومات المعاصرة. مع تحديد الثغرات البرمجية والإبلاغ عنها بوتيرة غير مسبوقة، يتم تكليف فرق الأمان بمهمة صعبة تتمثل في تخصيص مواردها المحدودة بكفاءة لتخفيف أكبر المخاطر.
تهدف قسم الخلفية والأعمال ذات الصلة اللاحقة إلى وضع البحث في سياقه من خلال فحص استراتيجيات إدارة الثغرات الحالية ومراجعة الأدبيات ذات الصلة التي تسهم في تطوير إطار عمل متكامل لمعالجة هذه التحديات. تعتبر هذه المعرفة الأساسية ضرورية لفهم الحلول المقترحة وتأثيرها المحتمل على تعزيز أمان المؤسسات.
طرق
في هذا القسم، يوضح المؤلفون منهجيتهم التجريبية لتقييم إطار إدارة ضعف السلسلة، موضحين جمع البيانات، ومقاييس التقييم، وتقنيات التحقق. يستخدمون مقياسين رئيسيين للتقييم المقارن: الكفاءة والتغطية. تُعرف الكفاءة كنسبة الثغرات ذات الأولوية التي تم استغلالها، محسوبة كعدد الثغرات المستغلة في مجموعة الأولويات مقسومًا على إجمالي الثغرات في تلك المجموعة. تشير الكفاءة الأعلى إلى تخصيص فعال للموارد من قبل فرق الأمان. من ناحية أخرى، تقيس التغطية نسبة الثغرات المستغلة التي تم التقاطها بواسطة كل طريقة أولوية، محسوبة كعدد الثغرات المستغلة في مجموعة الأولويات مقسومًا على إجمالي الثغرات المستغلة. تشير نسبة تغطية أعلى إلى تحديد ناجح للثغرات التي استغلها المهاجمون، مما يلبي متطلبات الشمولية للتطبيقات الحرجة للأمان.
لتحليل فوائد دمج الثغرات المعروفة المستغلة (KEV) ونظام توقع الاستغلال (EPSS) بشكل أكبر، يقدم المؤلفون مقياسين إضافيين: التغطية التزايدية، التي تقيم الثغرات المستغلة الإضافية التي تم تحديدها من خلال الدمج والتي لن تلتقطها KEV أو EPSS بشكل فردي، والفعالية التكميلية، التي تقيم مدى تحديد KEV وEPSS لمجموعات مختلفة من الثغرات المستغلة. يتم مقارنة نهج إدارة ضعف السلسلة المقترح مع ثلاثة خطوط أساسية معروفة: خط الأساس CVSS (الثغرات عالية الشدة ذات الدرجات 7.0 أو أعلى)، أولوية KEV-Only (استنادًا فقط إلى عضوية فهرس KEV الخاص بـ CISA)، وأولوية EPSS-Only (باستخدام درجات EPSS فوق عتبة 0.088). يتم إجراء التقييم باستخدام مجموعة بيانات تتكون من 90 ثغرة موثقة في تقارير بائعي الأمان العامة، مما يضمن التحقق من النتائج باستخدام بيانات معلومات التهديد القابلة للتحقق علنًا.
النتائج
تشير نتائج الدراسة حول إطار إدارة ضعف السلسلة إلى تقدم كبير في كفاءة إدارة الثغرات من خلال دمج مصادر بيانات متعددة، تحديدًا CVSS وEPSS وKEV. تدعم النتائج بقوة الفرضية القائلة بأن هذا النهج متعدد المصادر لا يعزز الكفاءة فحسب، بل يحافظ أيضًا على مستويات تغطية تزيد عن 85%. يعالج هذا الدمج بشكل فعال قيود الاعتماد فقط على مقاييس فردية، مما يبرز قيمة البيانات المتنوعة في اتخاذ قرارات الأمن السيبراني.
ومن الجدير بالذكر أن الإطار حقق انخفاضًا ملحوظًا في عبء العمل العاجل للأولوية، حيث انخفض من 16,182 إلى حوالي 850 ثغرة، مما يمثل تحسينًا تشغيليًا تحويليًا للمنظمات. أظهرت أداء KEV، خاصة فيما يتعلق ببيانات تقارير البائعين، كفاءة بنسبة 74.3% وتغطية بنسبة 86.7%، مما يدل على توافقه القوي مع مصادر معلومات التهديد الخاصة بـ CISA. بالمقابل، أظهر EPSS كفاءة أقل، مما يشير إلى تباين في التوقعات المدفوعة بالتعلم الآلي عبر سياقات مختلفة. بشكل عام، يظهر الإطار المتكامل خصائص أداء قوية، مما يؤكد على إمكانيته في تعزيز ممارسات إدارة الثغرات في المؤسسات من خلال دمج منهجي لمعلومات التهديد، كما هو موضح في الشكل 3.
المناقشة
في قسم المناقشة من ورقة البحث، يتناول المؤلفون التحديات المتزايدة التي تواجهها المنظمات في إدارة الثغرات بسبب العدد المتزايد من الثغرات المعروفة والتعرضات (CVEs) وعدم التوازن الفطري بين المهاجمين والمدافعين. يبرزون أنه بينما يحتاج المهاجمون إلى استغلال ثغرة واحدة فقط، يجب على المدافعين تحديد وإصلاح جميع نقاط الضعف المحتملة، وهو ما يتفاقم بسبب نقص الموارد الأمنية. يقدم المؤلفون إطار إدارة ضعف السلسلة الخاص بهم، الذي يدمج مصادر بيانات متعددة – نظام تسجيل الثغرات الشائعة (CVSS)، والثغرات المعروفة المستغلة (KEV)، ونظام توقع الاستغلال (EPSS) – لتعزيز أولوية الثغرات. تشير نتائجهم التجريبية إلى أن هذا الإطار يحقق تحسينًا بمقدار 18 ضعفًا في الكفاءة مقارنة بالطرق التقليدية المعتمدة على CVSS مع الحفاظ على مستويات تغطية قابلة للمقارنة.
كما ينتقد المؤلفون الأطر الحالية لتقييم الثغرات، وخاصة CVSS، التي يجادلون بأنها غير فعالة للأولوية بسبب توزيع الدرجات المنحرف وتركيزها النظري. يؤكدون على أهمية الأساليب المعتمدة على الأدلة مثل KEV، التي توثق الثغرات المستغلة بنشاط، وEPSS، التي تتنبأ باحتمالية الاستغلال. ومع ذلك، يعترفون بحدود هذه الأنظمة، مثل الطبيعة التفاعلية لـ KEV وعدم اليقين الفطري لـ EPSS. يهدف الإطار المقترح إلى معالجة هذه الفجوات من خلال توفير منهجية منهجية، تم التحقق منها تجريبيًا، وسهلة الوصول للمنظمات لتنفيذ إدارة فعالة للمخاطر المتعلقة بالثغرات، مما يسمح لهم بالتركيز على التهديدات الفعلية بدلاً من المخاطر النظرية.
القيود
في قسم “القيود”، يعترف المؤلفون بالقيود الكامنة في دراستهم الرصدية لبيانات استغلال الثغرات. يؤكدون على التركيز على التحليل الوصفي وأحجام التأثير العملية بدلاً من الإحصاءات الاستنتاجية، مستخدمين مقاييس الأداء المقارن، وتحليلات حساسية العتبة، وفحوصات الأنماط الزمنية للتحقق من معاييرهم المختارة. يقوم المؤلفون بإجراء فحوصات موثوقية، بما في ذلك التحقق اليدوي من ادعاءات الاستغلال واختبار عتبات بديلة لنظام توقع الاستغلال (EPSS) ونظام تسجيل الثغرات الشائعة (CVSS)، لضمان موثوقية نتائجهم.
ومع ذلك، يعترف المؤلفون بعدة قيود قد تؤثر على تعميم نتائجهم. من المحتمل أن تكون مجموعة بيانات الاستغلال غير مكتملة، حيث تظل العديد من الهجمات غير مكتشفة أو غير مُبلغ عنها، وقد لا تكون فترة الدراسة التي تبلغ 13 شهرًا كافية لالتقاط اتجاهات الاستغلال على المدى الطويل أو التغيرات الموسمية. بالإضافة إلى ذلك، قد يحد الاعتماد على البيانات المبلغ عنها علنًا من قابلية تطبيق نتائجهم على جميع سيناريوهات النشر. سيتناول القسم التالي النتائج المستمدة من هذه المنهجية التجريبية، مع التركيز بشكل خاص على فعالية إدارة ضعف السلسلة.
DOI: https://doi.org/10.1109/access.2026.3665768
Publication Date: 2026-01-01
Author(s): Zhenyun Du et al.
Primary Topic: Information and Cyber Security
Overview
The research presents a novel framework called Vulnerability Management Chaining, designed to enhance the prioritization of vulnerabilities in the face of an exponential increase in Common Vulnerabilities and Exposures (CVE). Traditional methods, such as the Common Vulnerability Scoring System (CVSS), often yield excessive high-priority vulnerabilities, while the Exploit Prediction Scoring System (EPSS) and Known Exploited Vulnerabilities (KEV) catalogs provide limited insights into actual exploitation risks. The proposed framework employs a two-stage evaluation process: it first filters threats based on KEV membership or an EPSS threshold of ≥ 0.088, followed by a severity assessment using CVSS scores of ≥ 7.0.
Experimental validation on 28,377 real-world vulnerabilities indicates that this approach achieves an 18-fold increase in efficiency while maintaining an 85.6% coverage rate. Organizations can potentially reduce their urgent remediation workload by approximately 95%. Notably, the integration of these methodologies uncovers 48 additional exploited vulnerabilities that are not identified by KEV or EPSS alone. The framework relies solely on open-source data, facilitating immediate implementation across various organizational contexts. Overall, this research addresses a significant challenge in cybersecurity by demonstrating that effective vulnerability prioritization can be achieved through the systematic integration of diverse intelligence sources.
Introduction
The introduction highlights the urgent challenge of vulnerability management in the face of rapidly escalating cybersecurity threats and the intricate nature of contemporary IT infrastructures. With software vulnerabilities being identified and reported at an unprecedented pace, security teams are tasked with the difficult job of efficiently allocating their limited resources to mitigate the most significant risks.
The subsequent background and related work section aims to contextualize the research by examining existing vulnerability management strategies and reviewing pertinent literature that contributes to the development of an integrated framework for addressing these challenges. This foundational knowledge is crucial for understanding the proposed solutions and their potential impact on enhancing organizational security.
Methods
In this section, the authors outline their experimental methodology for assessing the Vulnerability Management Chaining framework, detailing data collection, evaluation metrics, and validation techniques. They utilize two primary metrics for comparative evaluation: efficiency and coverage. Efficiency is defined as the percentage of prioritized vulnerabilities that were exploited, calculated as the number of exploited vulnerabilities in the priority set divided by the total vulnerabilities in that set. Higher efficiency indicates effective resource allocation by security teams. Coverage, on the other hand, measures the proportion of exploited vulnerabilities captured by each prioritization method, calculated as the number of exploited vulnerabilities in the priority set divided by the total exploited vulnerabilities. A higher coverage percentage signifies a successful identification of vulnerabilities that attackers have exploited, addressing the completeness requirement for security-critical applications.
To further analyze the benefits of combining Known Exploited Vulnerabilities (KEV) and Exploit Prediction Scoring System (EPSS), the authors introduce two additional metrics: incremental coverage, which assesses additional exploited vulnerabilities identified through the combination that neither KEV nor EPSS would capture individually, and complementary effectiveness, which evaluates the extent to which KEV and EPSS identify different subsets of exploited vulnerabilities. The proposed Vulnerability Management Chaining approach is compared against three established baselines: the CVSS baseline (high-severity vulnerabilities with scores of 7.0 or higher), KEV-Only prioritization (based solely on CISA KEV catalog membership), and EPSS-Only prioritization (using EPSS scores above a threshold of 0.088). The evaluation is conducted using a dataset of 90 vulnerabilities documented in public security vendor reports, ensuring the findings are validated with publicly verifiable threat intelligence data.
Results
The results of the study on the Vulnerability Management Chaining framework indicate significant advancements in vulnerability management efficiency through the integration of multiple data sources, specifically CVSS, EPSS, and KEV. The findings strongly support the hypothesis that this multi-source approach not only enhances efficiency but also maintains coverage levels above 85%. This integration effectively addresses the limitations of relying solely on individual metrics, underscoring the value of diverse data in cybersecurity decision-making.
Notably, the framework achieved a remarkable reduction in urgent prioritization workload, decreasing from 16,182 to approximately 850 vulnerabilities, which represents a transformative operational improvement for organizations. The performance of KEV, particularly in relation to vendor report data, demonstrated 74.3% efficiency and 86.7% coverage, indicating its strong alignment with CISA’s threat intelligence sources. In contrast, EPSS exhibited lower efficiency, suggesting variability in machine learning-driven predictions across different contexts. Overall, the integrated framework shows robust performance characteristics, affirming its potential to enhance organizational vulnerability management practices through systematic threat intelligence integration, as illustrated in Figure 3.
Discussion
In the discussion section of the research paper, the authors address the growing challenges organizations face in vulnerability management due to an increasing number of Common Vulnerabilities and Exposures (CVEs) and the inherent asymmetry between attackers and defenders. They highlight that while attackers need to exploit only one vulnerability, defenders must identify and remediate all potential weaknesses, which is exacerbated by a shortage of security resources. The authors present their Vulnerability Management Chaining framework, which integrates multiple data sources—Common Vulnerability Scoring System (CVSS), Known Exploited Vulnerabilities (KEV), and Exploit Prediction Scoring System (EPSS)—to enhance vulnerability prioritization. Their experimental results indicate that this framework achieves an 18-fold improvement in efficiency compared to traditional CVSS-based methods while maintaining comparable coverage levels.
The authors also critique existing vulnerability assessment frameworks, particularly CVSS, which they argue is ineffective for prioritization due to its skewed scoring distribution and theoretical focus. They emphasize the importance of evidence-based approaches like KEV, which documents actively exploited vulnerabilities, and EPSS, which predicts the likelihood of exploitation. However, they acknowledge the limitations of these systems, such as KEV’s reactive nature and EPSS’s inherent uncertainties. The proposed framework aims to address these gaps by providing a systematic, empirically validated, and accessible methodology for organizations to implement effective risk-based vulnerability management, thereby allowing them to focus on actual threats rather than theoretical risks.
Limitations
In the “Limitations” section, the authors acknowledge the constraints inherent in their observational study of vulnerability exploitation data. They emphasize a focus on descriptive analysis and practical effect sizes rather than inferential statistics, utilizing comparative performance metrics, threshold sensitivity analyses, and temporal pattern examinations to validate their chosen parameters. The authors conduct robustness checks, including manual verification of exploitation claims and testing alternative thresholds for the Exploit Prediction Scoring System (EPSS) and Common Vulnerability Scoring System (CVSS), to ensure the reliability of their findings.
However, the authors recognize several limitations that may affect the generalizability of their results. The exploitation dataset is likely incomplete, as many attacks remain undetected or unreported, and the 13-month study period may not adequately capture long-term exploitation trends or seasonal variations. Additionally, the reliance on publicly reported data may limit the applicability of their findings to all deployment scenarios. The subsequent section will detail the results derived from this experimental methodology, specifically focusing on the effectiveness of Vulnerability Management Chaining.