एक CVE और वल्नरेबिलिटी-इंटेलिजेंस एजेंट बनाएँ: CISA KEV, NVD, EPSS और MITRE ATT&CK एक ही API में

हर सुरक्षा टीम CVEs में डूबी रहती है। संकेत गंभीरता नहीं है — संकेत यह है कि क्या किसी वल्नरेबिलिटी का शोषण हो रहा है और इसकी कितनी संभावना है। यहाँ बताया गया है कि NVD, CISA KEV, EPSS और ATT&CK को मिलाकर एक ऐसा एजेंट कैसे बनाएँ जो जवाब दे कि 'मैं पहले किसे पैच करूँ?'
TL;DR
- •अकेली CVSS गंभीरता ज़्यादा गिनती है: ज़्यादातर 'क्रिटिकल' CVEs का कभी शोषण नहीं होता। असली प्राथमिकता के लिए ऊपर CISA KEV (ज्ञात-शोषित) + EPSS (शोषण की संभावना) की परत चाहिए।
- •चार स्रोत: NVD (CVE रिकॉर्ड + CVSS), CISA KEV (व्यवहार में शोषित की आधिकारिक सूची), EPSS (दैनिक 0–1 शोषण-संभावना स्कोर), MITRE ATT&CK (संदर्भ के लिए रणनीतियाँ/तकनीकें)।
- •API Pick का Cybersecurity Search चारों को एक ही POST endpoint के पीछे लपेटता है — प्रति कॉल 10 क्रेडिट, केवल-सफलता-पर — ताकि एजेंट को चार स्क्रैपर के बिना मिश्रित वल्नरेबिलिटी इंटेलिजेंस मिल जाए।
- •एजेंट का पैटर्न: CVE लाएँ, KEV में मौजूदगी जाँचें, EPSS स्कोर पढ़ें, ATT&CK तकनीकों से मैप करें, फिर शोषित-पहले, फिर EPSS, फिर CVSS के अनुसार क्रम लगाएँ।
- •यह रिट्रीवल है, स्कैनर नहीं: यह आपको बताता है कि किसी वल्नरेबिलिटी के बारे में क्या ज्ञात है और क्या संभावित है, ताकि मानव ट्राइएज को प्राथमिकता दी जा सके — न कि स्वचालित कार्रवाई को अधिकृत करने के लिए।
गंभीरता गलत सॉर्ट कुंजी है
एक वल्नरेबिलिटी कार्यक्रम जो CVSS स्कोर के अनुसार पैच करता है, व्यस्त है और अप्रभावी है। National Vulnerability Database दसियों हज़ार High और Critical CVEs सूचीबद्ध करती है; भारी बहुमत का कभी शोषण नहीं होता। इस बीच एक "Medium" जिसका व्यवहार में कार्यशील एक्सप्लॉइट मौजूद है, बैकलॉग में पड़ा रहता है। एक सुरक्षा एजेंट को जिस प्रश्न का उत्तर देना चाहिए वह यह नहीं है कि "यह कितना बुरा हो सकता है" — बल्कि "मुझे आज सबसे पहले क्या पैच करना चाहिए।"
इसका उत्तर देने के लिए चार डेटा स्रोतों को एक साथ मिलाना ज़रूरी है। प्रत्येक मुफ़्त और सार्वजनिक है; प्रत्येक का अपना प्रारूप और अद्यतन गति है।
चार स्रोत
NVD — CVE रिकॉर्ड
NIST की National Vulnerability Database। CVSS वेक्टर, प्रभावित उत्पादों (CPE) और संदर्भों के साथ CVE की प्रामाणिक सूची। "यह वल्नरेबिलिटी क्या है" की आधार परत। ताकत: आधिकारिक और संपूर्ण। कमज़ोरी: अकेला CVSS गंभीरता को ज़्यादा गिनता है।
CISA KEV
Known Exploited Vulnerabilities कैटलॉग — CISA की उन CVEs की आधिकारिक सूची जिनका व्यवहार में शोषित होना पुष्ट है, अमेरिकी संघीय एजेंसियों के लिए निवारण की समय-सीमा के साथ। यदि कोई CVE KEV में है, तो वह कतार में आगे आ जाता है। ताकत: पूरे वल्नरेबिलिटी प्रबंधन में सबसे ऊँचे-संकेत वाला फ़्लैग।
EPSS
FIRST.org का Exploit Prediction Scoring System: एक दैनिक 0–1 संभावना कि किसी CVE का अगले 30 दिनों में शोषण होगा। "शोषण हो सकता है" को "कितनी संभावना है" में बदल देता है। ताकत: एक संभाव्यता-आधारित क्रम जो हमलावरों के वास्तविक व्यवहार से मेल खाता है।
MITRE ATT&CK
विरोधी की रणनीतियों और तकनीकों की नॉलेज बेस। किसी वल्नरेबिलिटी को उसकी kill-chain भूमिका से मैप करती है। ताकत: एक CVE को एक परिचालन कहानी में बदल देती है जिसका उपयोग आपके डिटेक्शन और प्रतिक्रिया योजना कर सकती है।
एक endpoint, मिश्रित इंटेलिजेंस
Cybersecurity Search NVD, CISA KEV, EPSS और MITRE ATT&CK को एक ही POST endpoint के पीछे लपेटता है — प्रति कॉल 10 क्रेडिट, केवल-सफलता-पर। एक CVE ID या प्राकृतिक-भाषा क्वेरी दें; परिणाम मिश्रित और किसी LLM के लिए पूर्व-आकारित होकर लौटते हैं। इसे वेंडर एडवाइज़री के लिए Web Search के साथ और पूरी एडवाइज़री पेज लाने के लिए Extract के साथ जोड़ें।
import httpx, os
API, HEADERS = "https://api.apipick.com/v1", {"x-api-key": os.environ["APIPICK_KEY"]}
def vuln_intel(query: str):
r = httpx.post(f"{API}/search/cybersecurity",
headers=HEADERS, json={"query": query})
r.raise_for_status()
return r.json()["results"]
# "what should I patch first across NVD + KEV + EPSS + ATT&CK?"
records = vuln_intel("actively exploited Apache and VMware vulnerabilities this month")
# Rank: KEV-listed first, then by EPSS, then CVSS. Feed the ranked,
# cited list to your LLM to summarize the worklist for an analyst.बनाएँ बनाम खरीदें
| खुद जोड़ें | API Pick | |
|---|---|---|
| स्रोत | NVD + KEV + EPSS + ATT&CK, अलग-अलग | चारों, मिश्रित |
| प्रारूप | 4 schemas + EPSS CSV | 1 JSON आकार |
| ताज़गी | आप 4 सिंक शेड्यूल करते हैं | प्रति कॉल लाइव |
| LLM के लिए तैयार | आप प्रत्येक को सामान्यीकृत करते हैं | पूर्व-आकारित + स्रोत URLs |
| लागत | इन्फ्रा + रखरखाव | 10 क्रेडिट/कॉल, केवल सफलता पर |
आप क्या बना सकते हैं
पैच-प्राथमिकता सहायक से आगे: एक दैनिक KEV-निगरानी एजेंट जो तब अलर्ट करता है जब आपके स्टैक का कोई CVE शोषित सूची में आता है; एक ट्राइएज बॉट जो किसी स्कैनर एक्सपोर्ट को एक क्रमबद्ध, उद्धृत कार्यसूची में बदल देता है; एक विश्लेषक सहायक जो किसी CVE के ATT&CK निहितार्थ सरल भाषा में समझाता है। वही पैटर्न — मिश्रित रिट्रीवल, शोषित-पहले के अनुसार क्रमबद्ध, स्रोतों के साथ संश्लेषित। एक मुफ़्त की लें (100 क्रेडिट, बिना कार्ड) और अपने एजेंट को इसकी ओर इंगित करें।
अक्सर पूछे जाने वाले प्रश्न
पैच को प्राथमिकता देने के लिए CVSS गंभीरता पर्याप्त क्यों नहीं है?
क्योंकि गंभीरता संभावित प्रभाव मापती है, शोषण की संभावना नहीं। दसियों हज़ार CVEs को High या Critical रेटिंग मिलती है, पर केवल एक छोटा अंश ही व्यवहार में कभी शोषित होता है। यदि आप केवल CVSS के आधार पर पैच करते हैं तो ऐसी वल्नरेबिलिटीज़ पर मेहनत लगाते हैं जिन्हें हमलावर कभी छूते ही नहीं, जबकि वह मध्यम-रेटिंग वाली छूट जाती है जिसका सक्रिय रूप से शोषण हो रहा है। आधुनिक तरीका CVSS के ऊपर CISA KEV (क्या यह ज्ञात-शोषित है?) और EPSS (इसकी कितनी संभावना है?) की परत लगाता है ताकि वही क्रम में आए जो वास्तव में मायने रखता है।
EPSS क्या है और मैं इसका उपयोग कैसे करूँ?
EPSS (Exploit Prediction Scoring System), FIRST.org से, हर CVE को प्रतिदिन अद्यतन होने वाला 0 से 1 तक का स्कोर देता है जो अनुमान लगाता है कि अगले 30 दिनों में इसका शोषण होने की कितनी संभावना है। एक आम नीति: CISA KEV में मौजूद किसी भी चीज़ को तुरंत पैच करें, फिर ~0.1 से ऊपर EPSS वाली कोई भी चीज़ (या आपकी जोखिम-समायोजित थ्रेशोल्ड), और फिर बाकी का CVSS के अनुसार ट्राइएज करें। चूँकि EPSS प्रतिदिन अद्यतन होता है, एक एजेंट को इसे कैश करने के बजाय फिर से लाना चाहिए।
MITRE ATT&CK क्या जोड़ता है?
संदर्भ। ATT&CK विरोधी की रणनीतियों और तकनीकों (आरंभिक पहुँच, विशेषाधिकार वृद्धि, एक्सफ़िल्ट्रेशन, इत्यादि) को मैप करता है। किसी CVE को उन तकनीकों से जोड़ना जो इसका शोषण करती हैं, एक विश्लेषक को kill-chain के निहितार्थ को समझने में मदद करता है — केवल 'यह शोषण-योग्य है' नहीं बल्कि 'यह लेटरल मूवमेंट को सक्षम करता है', जो बदल देता है कि आप कैसे प्राथमिकता देते हैं और कौन-से डिटेक्शन जोड़ते हैं।
क्या एजेंट स्वचालित रूप से पैच लागू कर सकता है या ट्रैफ़िक ब्लॉक कर सकता है?
नहीं — और आपको इसे इसके लिए नहीं जोड़ना चाहिए। यह एक इंटेलिजेंस-रिट्रीवल परत है: यह किसी वल्नरेबिलिटी के बारे में जो ज्ञात है उसे मिलाकर मानव ट्राइएज को प्राथमिकता देती है। स्वचालित निवारण के लिए परिवर्तन नियंत्रण, परीक्षण और एक मानव ज़िम्मेदार चाहिए। एजेंट का उपयोग एक क्रमबद्ध, उद्धृत कार्यसूची बनाने के लिए करें; निष्पादन अपने पैच/SOAR पाइपलाइन और एक इंजीनियर पर छोड़ दें।
डेटा कितना ताज़ा है?
NVD और CISA KEV लगातार अद्यतन होते हैं जैसे-जैसे CVEs प्रकाशित होते हैं और शोषण की पुष्टि होती है; EPSS प्रतिदिन पुनर्गणना करता है। endpoint लाइव स्रोतों से क्वेरी करता है, इसलिए एजेंट का एक रन वर्तमान स्थिति को दर्शाता है। ऑडिट ट्रेल के लिए, निर्णय के क्षण में EPSS स्कोर और KEV स्थिति को एक टाइमस्टैम्प के साथ संग्रहीत करें।
इस लेख में उपयोग की गई APIs
Sarah Choy, API Pick की CEO हैं। वे AI एजेंट्स और LLM वर्कफ़्लो के लिए प्रोडक्शन-रेडी APIs बनाने के बारे में लिखती हैं।