[ blog · tutorial ]10 min read

Bir CVE ve Zafiyet İstihbaratı Ajanı Oluşturun: CISA KEV, NVD, EPSS ve MITRE ATT&CK Tek Bir API'de

Sarah ChoyYayımlanma tarihi: 16 Haziran 202610 dk okuma
Bir CVE ve Zafiyet İstihbaratı Ajanı Oluşturun: CISA KEV, NVD, EPSS ve MITRE ATT&CK Tek Bir API'de

Her güvenlik ekibi CVE'lerde boğuluyor. Sinyal ciddiyet değil — bir zafiyetin istismar edilip edilmediği ve buna ne kadar olasılık olduğudur. NVD, CISA KEV, EPSS ve ATT&CK'ı birleştirerek 'önce neyi yamalayayım?' sorusuna yanıt veren bir ajanı şöyle oluşturursunuz.

Özet

  • Tek başına CVSS ciddiyeti fazla sayar: 'critical' CVE'lerin çoğu hiçbir zaman istismar edilmez. Gerçek önceliklendirme, üstüne CISA KEV (bilinen-istismar edilen) + EPSS (istismar olasılığı) katmanlamayı gerektirir.
  • Dört kaynak: NVD (CVE kayıtları + CVSS), CISA KEV (vahşi doğada istismar edilenlerin yetkili listesi), EPSS (günlük 0–1 istismar olasılığı skoru), MITRE ATT&CK (bağlam için taktikler/teknikler).
  • API Pick Cybersecurity Search dördünü de tek bir POST endpoint'in arkasında sarmalar — çağrı başına 10 kredi, yalnızca-başarıda — böylece ajan, dört scraper olmadan birleştirilmiş zafiyet istihbaratını alır.
  • Ajan deseni: CVE'yi çek, KEV üyeliğini kontrol et, EPSS skorunu oku, ATT&CK tekniklerine eşle, ardından önce-istismar-edilen, sonra EPSS, sonra CVSS'e göre sırala.
  • Bu bir tarayıcı değil, bir geri getirme katmanıdır: bir zafiyet hakkında bilinenleri ve olası olanı söyler, insan tarafından yapılan triyajı önceliklendirmek için — otomatik eylem yetkilendirmek için değil.

Ciddiyet yanlış sıralama anahtarıdır

CVSS skoruna göre yama yapan bir zafiyet programı meşguldür ve etkisizdir. National Vulnerability Database on binlerce High ve Critical CVE listeler; ezici çoğunluğu hiçbir zaman istismar edilmez. Bu sırada vahşi doğada çalışan bir istismarı olan bir "Medium" backlog'da bekler. Bir güvenlik ajanının yanıtlaması gereken soru "bu ne kadar kötü olabilir" değil — "bugün önce neyi yamalamalıyım."

Buna yanıt vermek, bir araya birleştirilmiş dört veri kaynağı gerektirir. Her biri ücretsiz ve herkese açıktır; her birinin kendi biçimi ve güncelleme temposu vardır.

Dört kaynak

NVD — CVE kayıtları

NIST'in National Vulnerability Database'i. CVSS vektörleri, etkilenen ürünler (CPE) ve referanslarla birlikte kanonik CVE listesi. "Bu zafiyet nedir" temel katmanı. Güçlü yönü: yetkili ve eksiksiz. Zayıf yönü: tek başına CVSS ciddiyeti fazla sayar.

CISA KEV

Known Exploited Vulnerabilities kataloğu — CISA'nın vahşi doğada istismar edildiği doğrulanan CVE'lerin yetkili listesi, ABD federal kurumları için düzeltme son tarihleriyle birlikte. Bir CVE KEV'deyse, kuyruğu atlar. Güçlü yönü: tüm zafiyet yönetimindeki en yüksek sinyalli bayrak.

EPSS

FIRST.org'un Exploit Prediction Scoring System'ı: bir CVE'nin önümüzdeki 30 gün içinde istismar edilmesine ilişkin günlük bir 0–1 olasılık. "İstismar edilebilir" ifadesini "ne kadar olası" ifadesine dönüştürür. Güçlü yönü: gerçek saldırgan davranışını eşleyen olasılıksal bir sıralama.

MITRE ATT&CK

Düşman taktikleri ve teknikleri bilgi tabanı. Bir zafiyeti kill-chain'deki rolüne eşler. Güçlü yönü: bir CVE'yi tespitlerinizin ve müdahale planınızın kullanabileceği operasyonel bir hikâyeye dönüştürür.

Tek endpoint, birleştirilmiş istihbarat

Cybersecurity Search, NVD, CISA KEV, EPSS ve MITRE ATT&CK'ı tek bir POST endpoint'in arkasında sarmalar — çağrı başına 10 kredi, yalnızca-başarıda. Bir CVE kimliği veya doğal dil sorgusu geçirin; sonuçlar birleştirilmiş ve bir LLM için önceden biçimlendirilmiş olarak geri döner. Sağlayıcı bültenleri için Web Search ile ve eksiksiz bir bülten sayfasını çekmek için Extract ile eşleştirin.

import httpx, os
API, HEADERS = "https://api.apipick.com/v1", {"x-api-key": os.environ["APIPICK_KEY"]}

def vuln_intel(query: str):
    r = httpx.post(f"{API}/search/cybersecurity",
                   headers=HEADERS, json={"query": query})
    r.raise_for_status()
    return r.json()["results"]

# "what should I patch first across NVD + KEV + EPSS + ATT&CK?"
records = vuln_intel("actively exploited Apache and VMware vulnerabilities this month")

# Rank: KEV-listed first, then by EPSS, then CVSS. Feed the ranked,
# cited list to your LLM to summarize the worklist for an analyst.

Kendin kur vs. satın al

Kendin kurAPI Pick
KaynaklarNVD + KEV + EPSS + ATT&CK, ayrı ayrıDördü de, birleştirilmiş
Biçimler4 şema + EPSS CSV1 JSON biçimi
Tazelik4 senkronizasyon zamanlarsınÇağrı başına canlı
LLM'ye hazırHer birini normalleştirirsinÖnceden biçimlendirilmiş + kaynak URL'leri
MaliyetAltyapı + bakımÇağrı başına 10 kredi, yalnızca başarıda

Neler kurabilirsiniz

Bir yama önceliklendirme asistanının ötesinde: stack'inizdeki bir CVE istismar edilen listesine düştüğünde uyarı veren günlük bir KEV-izleme ajanı; bir tarayıcı çıktısını sıralanmış ve kaynaklı bir iş listesine dönüştüren bir triyaj botu; bir CVE'nin ATT&CK etkilerini sade bir dille açıklayan bir analist yardımcısı. Aynı desen — birleştirilmiş geri getirme, önce-istismar-edilen sırasına göre sıralanmış, kaynaklar eklenerek sentezlenmiş. Ücretsiz bir anahtar alın (100 kredi, kart yok) ve ajanınızı ona yönlendirin.

Sıkça Sorulan Sorular

Yama önceliklendirmesi için CVSS ciddiyeti neden yeterli değil?

Çünkü ciddiyet, istismar olasılığını değil potansiyel etkiyi ölçer. On binlerce CVE High veya Critical olarak derecelendirilir, ancak yalnızca küçük bir kısmı vahşi doğada hiç istismar edilir. Yalnızca CVSS'e göre yama yaparsanız, saldırganların asla dokunmadığı zafiyetlere emek harcarken aktif olarak istismar edilen orta dereceli olanı kaçırırsınız. Modern yaklaşım, gerçekten önemli olanı sıralamak için CVSS'in üstüne CISA KEV'i (istismar edildiği biliniyor mu?) ve EPSS'i (olasılığı nedir?) katmanlar.

EPSS nedir ve onu nasıl kullanırım?

FIRST.org'dan EPSS (Exploit Prediction Scoring System), her CVE'ye, önümüzdeki 30 gün içinde istismar edilme olasılığını tahmin eden, günlük güncellenen 0 ile 1 arasında bir skor verir. Yaygın bir politika: CISA KEV'deki her şeyi hemen yamalayın, ardından EPSS'i ~0.1'in üzerinde olan her şeyi (veya riske göre ayarlanmış eşiğinizi), sonra geri kalanını CVSS'e göre triyaj edin. EPSS günlük güncellendiğinden, bir ajanın onu önbelleğe almak yerine yeniden çekmesi gerekir.

MITRE ATT&CK neyi ekler?

Bağlam. ATT&CK, düşmanın taktiklerini ve tekniklerini (ilk erişim, ayrıcalık yükseltme, sızdırma vb.) eşler. Bir CVE'yi onu istismar eden tekniklere bağlamak, bir analistin kill-chain etkisini anlamasına yardımcı olur — yalnızca 'bu istismar edilebilir' değil, 'bu yanal harekete olanak tanır', ki bu da nasıl önceliklendirdiğinizi ve hangi tespitleri eklediğinizi değiştirir.

Ajan otomatik olarak yama uygulayabilir veya trafiği engelleyebilir mi?

Hayır — ve bunu yapması için bağlamamalısınız. Bu bir istihbarat geri getirme katmanıdır: insan triyajını önceliklendirmek için bir zafiyet hakkında bilinenleri birleştirir. Otomatik düzeltme; değişiklik kontrolü, test ve insan bir sorumlu gerektirir. Ajanı, sıralanmış ve kaynaklı bir iş listesi üretmek için kullanın; yürütmeyi yama/SOAR pipeline'ınıza ve bir mühendise bırakın.

Veriler ne kadar güncel?

NVD ve CISA KEV, CVE'ler yayımlandıkça ve istismar doğrulandıkça sürekli güncellenir; EPSS günlük olarak yeniden hesaplanır. Endpoint canlı kaynakları sorgular, bu yüzden ajanın bir çalışması mevcut durumu yansıtır. Bir denetim izi için, karar anındaki EPSS skorunu ve KEV durumunu bir zaman damgasıyla saklayın.

Bu makalede kullanılan API'ler

Sarah Choy
Yazan
Sarah Choy
CEO, API Pick

Sarah Choy, API Pick'in CEO'sudur. Yapay zeka ajanları ve LLM iş akışları için üretime hazır API'ler geliştirme üzerine yazılar yazar.