NCSC Score voor kwetsbaarheden

Wat

De NCSC-score geeft een inschatting van de relevantie van individuele CVE’s voor Nederlandse organisaties. De score is tussen de 0 (irrelevant) en 10 (zeer relevant). De score is automatisch gegenereerd en is voor elke CVE in de kwetsbaarheden-database van NCSC beschikbaar.

Waarom

Dagelijks worden er tientallen nieuwe CVE’s door CVE Numbering Authority’s (CNA’s) gepubliceerd en beschreven. Relevantie van deze CVE’s voor individuele organisaties is onder andere afhankelijk van specifieke softwarekeuzes en al genomen maatregelen. Hierdoor is slechts een klein deel van de CVE’s relevant voor Nederlandse organisaties. Er zijn verschillende methoden beschikbaar om CVE’s te prioriteren, waaronder Common Vulnerability Scoring System (CVSS) en Exploit Prediction Scoring System (EPSS). Deze methoden blijken niet direct bruikbaar om relevantie voor Nederlandse organisaties te bepalen. Om organisaties te ondersteunen met een eerste inschatting van relevantie, biedt het NCSC de NCSC-score aan. Deze score kan gebruikt worden voor een eerste inschatting welke CVE’s mogelijkerwijs relevant zijn voor Nederlandse organisaties.

Model en ontwikkeling

De score wordt gegenereerd door een machine-learning model. Om een score voor een CVE te bepalen wordt naar verschillende eigenschappen van de kwetsbaarheid gekeken (deze worden hieronder beschreven). Het model is getraind met behulp van de beveiligingsadviezen die het NCSC de afgelopen jaren heeft geschreven. Het model scoort CVE’s hoger die eigenschappen hebben die overeenkomen met de CVE’s waar het NCSC doorgaans beveiligingsadviezen voor schrijft. Met andere woorden, de hoog gescoorde CVE’s hebben ook een verhoogde kans om (later) meegenomen te worden van een NCSC beveiligingsadvies. Deze aanpak is uitvoerig getest.

Gebruikte eigenschappen

Elke CVE wordt automatisch gescoord op basis van de volgende eigenschappen:

• CVSS-score en -vector ( https://www.first.org/cvss/ )
• CPE informatie (producten, vendoren, platform, etc.) ( https://cpe.mitre.org/specification/ )
• CWE ( https://cwe.mitre.org/ )
• EPSS-score ( https://www.first.org/epss/ )
• Voorkomen van CVE in nieuwsartikelen (e.g. welke bron?)
• Exploit informatie (Is er een exploit? Hoeveel?)

Updates

Het huidige model wordt periodiek geactualiseerd. De updates zijn nodig zodat het model ook goed functioneert voor meer recente CVE’s, en ook omdat onze kwetsbaarheden-database regelmatig geactualiseerd wordt met nieuwe bronnen en nieuwe eigenschappen. Een nieuwe versie van de NCSC-score kan deze gebruiken om tot een verbeterde score te komen.

• Het model is gepresenteerd tijdens Vuln4Cast in Q3 2024
• De laatste versie van het model is gevalideerd in een pilot in Q2 2024
• De laatste grote update van het model is gepubliceerd op Q1 2024
• De eerste versie is afkomstig uit Q4 2023