Nye grafer i Vulnerability‑Lookup
CIRCL har opdateret statistikmodulet i Vulnerability‑Lookup med nye grafer, der visualiserer forholdet mellem udnyttede sårbarheder og det samlede antal kendte sårbarheder over tid. Opdateringen er udviklet på baggrund af konkrete diskussioner i projektets GitHub‑repository, hvor brugere har efterspurgt mere anvendelige metrics end de traditionelle volumengrafer.
Fokus på udnyttelse frem for volumen
Den centrale tilføjelse er en tidsserie, hvor den samlede mængde registrerede sårbarheder holdes op imod den delmængde, der er markeret som udnyttet. Dermed introduceres en mere operationel indikator end de klassiske optællinger af CVE’er eller advisories, som ofte har begrænset værdi i sig selv, når det gælder prioritering.
Datagrundlaget stammer fra platformens sightings, hvor brugere annoterer sårbarheder med observationer som “exploited”, “not exploited” eller “patched”. Det giver et observationslag oven på de etablerede kilder som CVE/NVD og leverandøradvarsler og gør det muligt at opbygge tidsserier for udnyttelse.
Statistikmodulet findes på Vulnerability Lookups hjemmeside. Her fremgår det bl.a. at det samlede antal registrerede sårbarheder i 2025 var ca 70.000 og godt 10 pct. af dem blev markeret som udnyttet eller hvor der forelå et udgivet proof‑of‑concept, i alt 7270.
Anvendelse i prioritering og patching
I praksis kan graferne bruges som et supplement til eksisterende prioriteringsmodeller. Hvor organisationer typisk arbejder med CVSS‑scores, EPSS‑beregninger eller KEV‑lister, giver visualiseringen et hurtigt overblik over, hvor stor en del af det samlede sårbarhedslandskab der faktisk indgår i aktiv udnyttelse.
Det gør det lettere at afveje indsatsen, når patch‑backlogs er omfattende. En situation med høj volumen, men lav andel af udnyttede sårbarheder, kan indikere, at en væsentlig del af arbejdet retter sig mod lavrisiko‑fund. Omvendt kan en stigende andel af udnyttede sårbarheder pege på et ændret trusselsniveau og behov for skærpet prioritering, selv hvis det samlede antal registrerede sårbarheder er stabilt.
Tidsserier til situationsforståelse
Den tidsmæssige dimension gør det muligt at bruge graferne til mere end statiske vurderinger. Udviklingen i andelen af udnyttede sårbarheder kan følges over tid og anvendes til at identificere ændringer i trusselsbilledet.
Det kan eksempelvis være relevant i forbindelse med:
- perioder med intensiv exploit‑aktivitet
- udbredt udnyttelse af konkrete sårbarheder
- sammenfald med offentliggørelse af exploits eller nye angrebskampagner
Tidsserierne giver dermed et grundlag for at koble sårbarhedsdata med øvrige trusselssignaler i den løbende situational awareness.
Baggrund i faglig diskussion
Graferne kan også indgå i arbejdet med at kvalificere interne KPI’er. Mange organisationer måler stadig deres vulnerability management på volumenbaserede indikatorer som antal håndterede sårbarheder eller gennemsnitlig behandlingstid.
Ved at inddrage andelen af udnyttede sårbarheder bliver det muligt at vurdere, om indsatsen i praksis er rettet mod de mest relevante risici. Det giver et mere nuanceret billede af effekten af remediation‑arbejdet og kan bruges til at justere prioriteringskriterier og triagering.
Funktionen udspringer af en diskussion i projektets GitHub‑repository, hvor brugere problematiserede værdien af rene volumengrafer og efterlyste mere beslutningsrelevante metrics. Det har resulteret i en konkret visualisering, der adresserer forskellen mellem samlet eksponering og faktisk udnyttelse. Dette viser styrken ved at invitere brugere til at medvirke i udviklingen af løsninger.
Som med andre metrics baseret på crowdsourced data skal graferne læses med forbehold. Sightings afhænger af brugerbidrag og vil derfor variere i både dækningsgrad og aktualitet, og der kan være en tidsforskydning mellem reel udnyttelse og registrering i systemet.
