[ blog · tutorial ]10 min read

Bouw een CVE- en kwetsbaarheidsintelligentie-agent: CISA KEV, NVD, EPSS en MITRE ATT&CK in één API

Sarah ChoyGepubliceerd op 16 juni 202610 min leestijd
Bouw een CVE- en kwetsbaarheidsintelligentie-agent: CISA KEV, NVD, EPSS en MITRE ATT&CK in één API

Elk beveiligingsteam verdrinkt in CVE's. Het signaal is niet de ernst — het is of een kwetsbaarheid wordt misbruikt en hoe waarschijnlijk dat is. Zo bouw je een agent die NVD, CISA KEV, EPSS en ATT&CK samenvoegt om te beantwoorden: 'wat patch ik eerst?'

TL;DR

  • CVSS-ernst alleen telt te veel: de meeste 'critical' CVE's worden nooit misbruikt. Echte prioritering vraagt om CISA KEV (bekend-misbruikt) + EPSS (kans op misbruik) daar bovenop.
  • De vier bronnen: NVD (CVE-records + CVSS), CISA KEV (de gezaghebbende lijst van in het wild misbruikte kwetsbaarheden), EPSS (dagelijkse 0–1 misbruikkansscore), MITRE ATT&CK (tactieken/technieken als context).
  • Cybersecurity Search van API Pick verpakt alle vier achter één POST-endpoint — 10 credits per call, alleen-bij-succes — zodat de agent samengevoegde kwetsbaarheidsintelligentie krijgt zonder vier scrapers.
  • Het agentpatroon: haal de CVE op, controleer KEV-lidmaatschap, lees de EPSS-score, koppel aan ATT&CK-technieken, en rangschik dan op misbruikt-eerst, daarna EPSS, daarna CVSS.
  • Dit is retrieval, geen scanner: het vertelt je wat bekend en waarschijnlijk is over een kwetsbaarheid, om menselijke triage te prioriteren — niet om geautomatiseerde actie te autoriseren.

Ernst is de verkeerde sorteersleutel

Een kwetsbaarheidsprogramma dat op CVSS-score patcht, is druk en ineffectief. De National Vulnerability Database vermeldt tienduizenden High- en Critical-CVE's; de overgrote meerderheid wordt nooit misbruikt. Ondertussen blijft een "Medium" met een werkende exploit in het wild in de backlog liggen. De vraag die een beveiligingsagent zou moeten beantwoorden is niet "hoe erg zou dit kunnen zijn" — het is "wat zou ik vandaag als eerste moeten patchen."

Dat beantwoorden vereist vier databronnen die samengevoegd worden. Elke bron is gratis en openbaar; elke heeft zijn eigen formaat en updatefrequentie.

De vier bronnen

NVD — CVE-records

De National Vulnerability Database van NIST. De canonieke CVE-lijst met CVSS-vectoren, getroffen producten (CPE) en referenties. De basislaag van "wat is deze kwetsbaarheid". Sterkte: gezaghebbend en compleet. Zwakte: CVSS alleen telt de ernst te veel.

CISA KEV

De Known Exploited Vulnerabilities-catalogus — CISA's gezaghebbende lijst van CVE's waarvan bevestigd is dat ze in het wild worden misbruikt, met hersteldeadlines voor Amerikaanse federale instanties. Als een CVE op KEV staat, springt hij voor in de rij. Sterkte: de vlag met het hoogste signaal in het hele kwetsbaarheidsbeheer.

EPSS

Het Exploit Prediction Scoring System van FIRST.org: een dagelijkse 0–1 kans dat een CVE in de komende 30 dagen wordt misbruikt. Verandert "zou misbruikt kunnen worden" in "hoe waarschijnlijk". Sterkte: een probabilistische rangschikking die het echte aanvallersgedrag in kaart brengt.

MITRE ATT&CK

De kennisbank van tactieken en technieken van tegenstanders. Brengt een kwetsbaarheid in kaart op zijn rol in de kill-chain. Sterkte: maakt van een CVE een operationeel verhaal dat je detecties en je responsplan kunnen gebruiken.

Eén endpoint, samengevoegde intelligentie

Cybersecurity Search verpakt NVD, CISA KEV, EPSS en MITRE ATT&CK achter één POST-endpoint — 10 credits per call, alleen-bij-succes. Geef een CVE-ID of een query in natuurlijke taal door; de resultaten komen samengevoegd en voorgevormd voor een LLM terug. Combineer het met Web Search voor vendoradviezen en Extract om een volledige adviespagina op te halen.

import httpx, os
API, HEADERS = "https://api.apipick.com/v1", {"x-api-key": os.environ["APIPICK_KEY"]}

def vuln_intel(query: str):
    r = httpx.post(f"{API}/search/cybersecurity",
                   headers=HEADERS, json={"query": query})
    r.raise_for_status()
    return r.json()["results"]

# "what should I patch first across NVD + KEV + EPSS + ATT&CK?"
records = vuln_intel("actively exploited Apache and VMware vulnerabilities this month")

# Rank: KEV-listed first, then by EPSS, then CVSS. Feed the ranked,
# cited list to your LLM to summarize the worklist for an analyst.

Zelf bouwen vs. kopen

Zelf koppelenAPI Pick
BronnenNVD + KEV + EPSS + ATT&CK, apartAlle vier, samengevoegd
Formaten4 schema's + EPSS-CSV1 JSON-vorm
VersheidJij plant 4 syncsLive per call
LLM-klaarJij normaliseert elkVoorgevormd + bron-URL's
KostenInfra + onderhoud10 credits/call, alleen bij succes

Wat je kunt bouwen

Verder dan een patchprioriteringsassistent: een dagelijkse KEV-bewakingsagent die waarschuwt wanneer een CVE in je stack op de misbruiklijst belandt; een triagebot die een scanner-export omzet in een gerangschikte, geciteerde werklijst; een analist-copiloot die de ATT&CK-implicaties van een CVE in gewone taal uitlegt. Hetzelfde patroon — samengevoegde retrieval, gerangschikt op misbruikt-eerst, gesynthetiseerd met bijgevoegde bronnen. Pak een gratis sleutel (100 credits, geen kaart) en richt je agent erop.

Veelgestelde vragen

Waarom is CVSS-ernst niet genoeg voor patchprioritering?

Omdat ernst de potentiële impact meet, niet de kans op misbruik. Tienduizenden CVE's krijgen het label High of Critical, maar slechts een klein deel wordt ooit in het wild misbruikt. Als je alleen op CVSS patcht, steek je moeite in kwetsbaarheden die aanvallers nooit aanraken terwijl je die met een medium-rating mist die actief wordt misbruikt. De moderne aanpak legt CISA KEV (is het bekend-misbruikt?) en EPSS (hoe waarschijnlijk is het?) bovenop CVSS om te rangschikken wat er echt toe doet.

Wat is EPSS en hoe gebruik ik het?

EPSS (Exploit Prediction Scoring System), van FIRST.org, geeft elke CVE een dagelijks bijgewerkte score van 0 tot 1 die de kans inschat dat hij in de komende 30 dagen wordt misbruikt. Een gangbaar beleid: patch alles op CISA KEV onmiddellijk, daarna alles met een EPSS boven ~0.1 (of je risico-afgestemde drempel), en triageer de rest op CVSS. Omdat EPSS dagelijks wordt bijgewerkt, moet een agent het opnieuw ophalen in plaats van cachen.

Wat voegt MITRE ATT&CK toe?

Context. ATT&CK brengt de tactieken en technieken van tegenstanders in kaart (initiële toegang, privilege-escalatie, exfiltratie, enzovoort). Een CVE koppelen aan de technieken die hem misbruiken helpt een analist de kill-chain-implicatie te begrijpen — niet alleen 'dit is misbruikbaar' maar 'dit maakt laterale beweging mogelijk', wat verandert hoe je prioriteert en welke detecties je toevoegt.

Kan de agent automatisch patches toepassen of verkeer blokkeren?

Nee — en je zou hem daar niet voor moeten koppelen. Dit is een intelligence-retrievallaag: hij voegt samen wat bekend is over een kwetsbaarheid om menselijke triage te prioriteren. Geautomatiseerd herstel vereist wijzigingsbeheer, testen en een menselijke eigenaar. Gebruik de agent om een gerangschikte, geciteerde werklijst te produceren; laat je patch/SOAR-pipeline en een engineer de uitvoering doen.

Hoe actueel zijn de gegevens?

NVD en CISA KEV worden continu bijgewerkt naarmate CVE's worden gepubliceerd en misbruik wordt bevestigd; EPSS herberekent dagelijks. Het endpoint bevraagt live bronnen, dus een agentrun weerspiegelt de huidige stand. Bewaar voor een audittrail de EPSS-score en KEV-status met een tijdstempel op het moment van de beslissing.

API's gebruikt in dit artikel

Sarah Choy
Geschreven door
Sarah Choy
CEO, API Pick

Sarah Choy is de CEO van API Pick. Ze schrijft over het bouwen van productieklare API's voor AI-agents en LLM-workflows.