[ blog · tutorial ]10 min read

Zbuduj agenta wywiadu o CVE i podatnościach: CISA KEV, NVD, EPSS i MITRE ATT&CK w jednym API

Sarah ChoyOpublikowano 16 czerwca 202610 min czytania
Zbuduj agenta wywiadu o CVE i podatnościach: CISA KEV, NVD, EPSS i MITRE ATT&CK w jednym API

Każdy zespół bezpieczeństwa tonie w CVE. Sygnałem nie jest waga — to czy podatność jest wykorzystywana i jak bardzo jest to prawdopodobne. Oto jak zbudować agenta, który łączy NVD, CISA KEV, EPSS i ATT&CK, by odpowiedzieć na pytanie 'co załatać najpierw?'

TL;DR

  • Sama waga CVSS zawyża liczby: większość 'critical' CVE nigdy nie jest wykorzystywana. Prawdziwa priorytetyzacja wymaga nałożenia na to CISA KEV (znane-wykorzystywane) + EPSS (prawdopodobieństwo wykorzystania).
  • Cztery źródła: NVD (rekordy CVE + CVSS), CISA KEV (autorytatywna lista wykorzystywanych w praktyce), EPSS (codzienna ocena prawdopodobieństwa wykorzystania 0–1), MITRE ATT&CK (taktyki/techniki dla kontekstu).
  • Cybersecurity Search od API Pick opakowuje wszystkie cztery za jednym endpointem POST — 10 kredytów na wywołanie, tylko-przy-sukcesie — dzięki czemu agent otrzymuje połączony wywiad o podatnościach bez czterech scraperów.
  • Wzorzec agenta: pobierz CVE, sprawdź przynależność do KEV, odczytaj ocenę EPSS, zmapuj na techniki ATT&CK, a następnie uszereguj według wykorzystywane-najpierw, potem EPSS, potem CVSS.
  • To pobieranie, nie skaner: mówi ci, co wiadomo i co jest prawdopodobne na temat podatności, aby spriorytetyzować ludzką triażę — a nie autoryzować zautomatyzowane działanie.

Waga to zły klucz sortowania

Program zarządzania podatnościami, który łata według oceny CVSS, jest zajęty i nieskuteczny. National Vulnerability Database wymienia dziesiątki tysięcy CVE High i Critical; przytłaczająca większość nigdy nie jest wykorzystywana. Tymczasem "Medium" z działającym w praktyce exploitem zalega w backlogu. Pytanie, na które powinien odpowiadać agent bezpieczeństwa, nie brzmi "jak źle mogłoby być" — brzmi "co powinienem załatać najpierw, dzisiaj."

Odpowiedź na nie wymaga połączenia czterech źródeł danych. Każde jest darmowe i publiczne; każde ma własny format i tempo aktualizacji.

Cztery źródła

NVD — rekordy CVE

National Vulnerability Database od NIST. Kanoniczna lista CVE z wektorami CVSS, dotkniętymi produktami (CPE) i odnośnikami. Bazowa warstwa "czym jest ta podatność". Mocna strona: autorytatywna i kompletna. Słaba strona: samo CVSS zawyża wagę.

CISA KEV

Katalog Known Exploited Vulnerabilities — autorytatywna lista CISA z CVE potwierdzonymi jako wykorzystywane w praktyce, z terminami naprawy dla amerykańskich agencji federalnych. Jeśli CVE jest w KEV, przeskakuje kolejkę. Mocna strona: flaga o najwyższym sygnale w całym zarządzaniu podatnościami.

EPSS

Exploit Prediction Scoring System od FIRST.org: codzienne prawdopodobieństwo 0–1, że CVE zostanie wykorzystane w ciągu najbliższych 30 dni. Zamienia "mogłoby zostać wykorzystane" w "jak prawdopodobne". Mocna strona: probabilistyczne uszeregowanie, które mapuje rzeczywiste zachowanie atakujących.

MITRE ATT&CK

Baza wiedzy o taktykach i technikach przeciwnika. Mapuje podatność na jej rolę w kill-chain. Mocna strona: zamienia CVE w operacyjną historię, której mogą użyć twoje detekcje i plan reagowania.

Jeden endpoint, połączony wywiad

Cybersecurity Search opakowuje NVD, CISA KEV, EPSS i MITRE ATT&CK za jednym endpointem POST — 10 kredytów na wywołanie, tylko-przy-sukcesie. Przekaż identyfikator CVE lub zapytanie w języku naturalnym; wyniki wracają połączone i wstępnie ukształtowane dla LLM. Połącz to z Web Search dla biuletynów producentów oraz z Extract, aby pobrać pełną stronę biuletynu.

import httpx, os
API, HEADERS = "https://api.apipick.com/v1", {"x-api-key": os.environ["APIPICK_KEY"]}

def vuln_intel(query: str):
    r = httpx.post(f"{API}/search/cybersecurity",
                   headers=HEADERS, json={"query": query})
    r.raise_for_status()
    return r.json()["results"]

# "what should I patch first across NVD + KEV + EPSS + ATT&CK?"
records = vuln_intel("actively exploited Apache and VMware vulnerabilities this month")

# Rank: KEV-listed first, then by EPSS, then CVSS. Feed the ranked,
# cited list to your LLM to summarize the worklist for an analyst.

Zbudować vs. kupić

Podłącz samodzielnieAPI Pick
ŹródłaNVD + KEV + EPSS + ATT&CK, osobnoWszystkie cztery, połączone
Formaty4 schematy + CSV z EPSS1 postać JSON
ŚwieżośćPlanujesz 4 synchronizacjeNa żywo przy każdym wywołaniu
Gotowe dla LLMNormalizujesz każdeWstępnie ukształtowane + URL-e źródeł
KosztInfrastruktura + utrzymanie10 kredytów/wywołanie, tylko przy sukcesie

Co możesz zbudować

Poza asystentem priorytetyzacji łatek: codzienny agent monitorujący KEV, który alarmuje, gdy CVE z twojego stosu trafia na listę wykorzystywanych; bot triażujący, który zamienia eksport ze skanera w uszeregowaną, opatrzoną źródłami listę zadań; kopilot analityka, który wyjaśnia prostym językiem implikacje ATT&CK danego CVE. Ten sam wzorzec — połączone pobieranie, uszeregowane według wykorzystywane-najpierw, zsyntetyzowane z dołączonymi źródłami. Zdobądź darmowy klucz (100 kredytów, bez karty) i skieruj na niego swojego agenta.

Najczęściej zadawane pytania

Dlaczego waga CVSS nie wystarcza do priorytetyzacji łatek?

Ponieważ waga mierzy potencjalny wpływ, a nie prawdopodobieństwo wykorzystania. Dziesiątki tysięcy CVE są oceniane jako High lub Critical, ale tylko niewielki ułamek jest kiedykolwiek wykorzystywany w praktyce. Jeśli łatasz wyłącznie według CVSS, wkładasz wysiłek w podatności, których atakujący nigdy nie tykają, a jednocześnie przeoczasz tę o średniej ocenie, która jest aktywnie wykorzystywana. Nowoczesne podejście nakłada na CVSS warstwy CISA KEV (czy wiadomo, że jest wykorzystywana?) i EPSS (jakie jest prawdopodobieństwo, że będzie?), aby uszeregować to, co naprawdę się liczy.

Czym jest EPSS i jak go używać?

EPSS (Exploit Prediction Scoring System) od FIRST.org przypisuje każdemu CVE codziennie aktualizowaną ocenę od 0 do 1, szacującą prawdopodobieństwo jego wykorzystania w ciągu najbliższych 30 dni. Częsta polityka: natychmiast łataj wszystko z CISA KEV, potem wszystko z EPSS powyżej ~0.1 (lub twojego progu dostrojonego do ryzyka), a resztę triażuj według CVSS. Ponieważ EPSS aktualizuje się codziennie, agent powinien pobierać go ponownie, zamiast buforować.

Co dodaje MITRE ATT&CK?

Kontekst. ATT&CK mapuje taktyki i techniki przeciwnika (dostęp początkowy, eskalacja uprawnień, eksfiltracja itd.). Powiązanie CVE z technikami, które go wykorzystują, pomaga analitykowi zrozumieć implikacje dla kill-chain — nie tylko 'to jest możliwe do wykorzystania', ale 'to umożliwia ruch boczny', co zmienia sposób, w jaki priorytetyzujesz i jakie detekcje dodajesz.

Czy agent może automatycznie nakładać łatki lub blokować ruch?

Nie — i nie powinieneś go do tego podłączać. To warstwa pobierania wywiadu: łączy to, co wiadomo o podatności, aby spriorytetyzować ludzką triażę. Zautomatyzowana naprawa wymaga kontroli zmian, testów i ludzkiego właściciela. Użyj agenta do wyprodukowania uszeregowanej, opatrzonej źródłami listy zadań; niech wykonają ją twój pipeline łatek/SOAR oraz inżynier.

Jak aktualne są dane?

NVD i CISA KEV są aktualizowane na bieżąco, w miarę jak publikowane są CVE i potwierdzane jest wykorzystanie; EPSS przelicza się codziennie. Endpoint odpytuje źródła na żywo, więc jedno uruchomienie agenta odzwierciedla bieżący stan. Dla ścieżki audytu zapisz ocenę EPSS i status KEV ze znacznikiem czasu w chwili podejmowania decyzji.

API użyte w tym artykule

Sarah Choy
Autor
Sarah Choy
CEO, API Pick

Sarah Choy jest CEO API Pick. Pisze o budowaniu produkcyjnych API dla agentów AI i przepływów pracy z LLM.