VEX (Vulnerability Exploitability eXchange) är ett standardiserat format som utformats för att utbyta information om huruvida en specifik sårbarhet kan utnyttjas i en given miljö.
Till skillnad från traditionella sårbarhetsrapporter – som CVE och VDR (Vulnerability Disclosure Report) – fokuserar VEX på att ge en kontextbaserad bedömning av risken.
Genom att inkludera detaljer om systemkonfiguration, befintliga säkerhetsåtgärder och hur komponenten används, ges en mer nyanserad bild av det faktiska hotet.
Syfte och värde
Målet med VEX är att förvandla sårbarhetsdata till en praktisk resurs för säkerhetsarbetet. Genom att beakta den specifika miljön möjliggör VEX:
- Effektiv riskbedömning: Genom att identifiera vilka sårbarheter som faktiskt kan utnyttjas kan organisationer fokusera sina resurser där de gör störst nytta.
- Minskad osäkerhet: En tydlig bedömning av exploaterbarhet minskar gissningsarbete och skapar en mer realistisk uppfattning om riskerna.
- Förbättrad kommunikation: Ett standardiserat format gör det lättare att dela och förstå sårbarhetsinformation mellan olika parter – från utvecklingsteam till beslutsfattare.
VEX-status – Hur bedöms exploaterbarhet?
För att beskriva hur en sårbarhet kan utnyttjas används en rad definierade statusar inom VEX. Här är några exempel:
| VEX-status | Beskrivning |
|---|---|
| Not Affected | Produkten eller systemet påverkas inte alls av den aktuella sårbarheten. |
| Affected | Sårbarheten finns, men inga kända exploiteringsvägar har identifierats i den aktuella kontexten. |
| Exploitable | Sårbarheten är aktivt exploaterbar med en känd attackvektor, vilket innebär ett direkt säkerhetshot. |
| Remediated | Sårbarheten har hanterats – exempelvis genom patchning eller andra motåtgärder. |
| Under Investigation | Det pågår en utredning för att fastställa om sårbarheten kan utnyttjas i den aktuella miljön. |
Skillnaden mellan VEX och VDR
Även om VEX och VDR båda hanterar sårbarhetsinformation kompletterar de varandra genom att ha olika fokus:
- VDR: Ger en djupgående teknisk beskrivning av sårbarheten, inklusive detaljer om typ, allvarlighetsgrad och föreslagna åtgärder.
- VEX: Bedömer sårbarhetens exploaterbarhet utifrån den specifika kontexten – ett verktyg för att avgöra vilka sårbarheter som är verkliga hot i praktiken.
Skillnaden mellan VEX och CVE
Medan CVE (Common Vulnerabilities and Exposures) erbjuder unika identifierare och en standardiserad beskrivning av sårbarheter, fokuserar VEX på att bedöma om och hur en sårbarhet kan utnyttjas i en specifik miljö. CVE ger alltså en översiktlig "fakta-sammanställning" medan VEX bidrar med en kontextuell riskbedömning som hjälper organisationer att prioritera åtgärder baserat på det faktiska hotet.
VEX och SBOM – En komplett säkerhetsbild
När VEX kombineras med en SBOM (Software Bill of Materials) blir säkerhetsarbetet ännu mer effektivt:
- SBOM: Ger en fullständig översikt över alla komponenter i en mjukvara.
- VEX: Anger vilka av dessa komponenter som innehåller exploaterbara sårbarheter.
Genom att arbeta med båda formaten kan man:
- Prioritera åtgärder: Identifiera och hantera de mest kritiska sårbarheterna först.
- Minska risken: Få en holistisk bild av vilka hot som är verkliga och var man ska rikta sina insatser.
- Optimera säkerhetsarbetet: Effektivisera beslutsfattande och resursfördelning baserat på konkreta data.
VEX-format och initiativ
Det finns flera varianter och initiativ kring VEX, exempelvis OpenVEX1, CSAF VEX och CycloneDX VEX.
Genom att erbjuda verktyg och resurser för skapande, delning och tolkning av VEX-information bidrar sådana initiativ till en mer transparent och säker digital leveranskedja.