[论文解读] The Baby Steps of the European Union Vulnerability Database: An Empirical Inquiry
该论文对欧盟漏洞数据库(EUVD)进行了实证分析,聚焦于主动利用漏洞、EPSS分数,以及欧洲CSIRT/ENISA的协调,以评估早期治理影响与数据质量。
A new European Union Vulnerability Database (EUVD) was introduced via a legislative act in 2022. The paper examines empirically the meta-data content of the new EUVD. According to the results, actively exploited vulnerabilities archived to the EUVD have been rather severe, having had also high exploitation prediction scores. In both respects they have also surpassed vulnerabilities coordinated by European public authorities. Regarding the European authorities, the Spanish public authority has been particularly active. With the exceptions of Finland, Poland, and Slovakia, other authorities have not engaged thus far. Also the involvement of the European Union's own cyber security agency has been limited. These points notwithstanding, European coordination and archiving to the EUVD exhibit a strong growth trend. With these results, the paper makes an empirical contribution to the ongoing work for better understanding European cyber security governance and practice.
研究动机与目标
- 评估归档至EUVD的主动利用漏洞有多严重。
- 评估EUVD AEVs的EPSS分数是否反映利用风险。
- 考察哪些欧洲当局(CSIRTs/ENISA)在EUVD中对漏洞进行协调。
- 调查协调模式是否在AEV与CSIRT/ENISA协调的漏洞之间存在差异。
提出的方法
- 以截至2026年12月15日的EUVD数据为基础,重点关注AEVs和ENISA/CSIRT协调的漏洞。
- 在需要时将CVSS v3.0转换为v3.1,并在RQ分析中排除CVSS v2.0漏洞。
- 分析严重性(CVSS)、EPSS分数的分布及跨度量相关性。
- 将AEVs与ENISA/CSIRT协调的漏洞进行比较,以评估相对严重性和EPSS分数。
- 识别欧洲当局的活动模式(如INCIBE、CERT.PL、NCSC-FI、SK-CERT)以及厂商指派来源。
实验结果
研究问题
- RQ1RQ1:归档至EUVD的主动利用漏洞有多严重?
- RQ2RQ2:归档至EUVD的AEV的EPSS分数是多少?
- RQ3RQ3:在欧盟Vulnerabilities协调中,哪些欧洲权威CSIRT在活动,ENISA的活动有多大?
- RQ4RQ4:通过欧洲CSIRT网络和ENISA协调的漏洞有多严重,它们的EPSS分数是多少,是否与RQ1和RQ2不同?
主要发现
- 归档至EUVD的AEV通常非常严重,中位数远高于8。
- AEV的EPSS分数平均高于由ENISA/CSIRT协调的漏洞。
- CVSS与EPSS分数在EUVD条目之间存在正相关。
- 西班牙的INCIBE在分配由CSIRT网络协调的漏洞方面特别活跃。
- ENISA直接参与协调EUVD漏洞的程度有限(约占条目数的2.1%)。
- 厂商,尤其是微软(在苹果、思科、Adobe程度较低的情况也有),在分配AEVs方面占主导地位。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。