EPSS Score (Exploit Prediction Scoring System)
TL;DR: EPSS Score
نظام تسجيل توقع الاستغلال (EPSS) هو معيار يعتمد على البيانات لتقدير احتمالية استغلال ثغرة معينة في البرمجيات في البيئة الحقيقية.
ستساعدك هذه العملية على:
- تحديد الأولويات لما يجب إصلاحه أولاً بناءً على بيانات التهديدات الواقعية.
- تقليل إرهاق التنبيهات بتجاهل الثغرات ذات الخطورة العالية التي لا يستهدفها المهاجمون فعليًا.
- تحسين موارد الأمن من خلال التركيز على 5% من الثغرات التي تشكل خطرًا حقيقيًا.
الهدف من EPSS هو إخبارك بمدى احتمالية تعرض الثغرة للهجوم، وليس فقط مدى الضرر الذي قد يسببه الهجوم.
ما هو EPSS Score
EPSS Score هو مقياس بين 0 و 1 (أو 0% إلى 100%) يمثل احتمال استغلال ثغرة معينة (CVE) خلال الثلاثين يومًا القادمة.
يدار بواسطة منتدى فرق الاستجابة للحوادث والأمن (FIRST)، نفس المنظمة التي تدير CVSS. بينما يقيس CVSS شدة الثغرة (مدى سوءها)، يقيس EPSS التهديد (مدى احتمالية حدوثه).
بعبارات بسيطة :
CVSS يخبرك، “هذه النافذة مكسورة، وهي نافذة كبيرة.” EPSS يخبرك، “هناك لص يقف مباشرة خارج تلك النافذة المحددة.”
لماذا EPSS مهم
فرق الأمن تغرق في التنبيهات “الحرجة”. قد يظهر فحص نموذجي للمؤسسة آلاف الثغرات بدرجة CVSS تبلغ 9.0 أو أعلى. من المستحيل إصلاحها جميعًا فورًا.
إذن لماذا EPSS مهم :
CVSS ليس كافيًا. تظهر الأبحاث أن أقل من 5% من جميع CVEs المنشورة يتم استغلالها في الواقع. إذا كنت تقوم بإصلاح الثغرات بناءً فقط على شدة CVSS، فأنت تضيع الوقت في إصلاح الأخطاء التي لا يهاجمها أحد.
الأولويات في العالم الحقيقي. يستخدم EPSS معلومات التهديد الحالية. قد تبدو الثغرة خطيرة على الورق (CVSS عالي)، ولكن إذا لم يكن هناك رمز استغلال موجود ولم يستخدمها أي مهاجمين، فإن درجة EPSS ستكون منخفضة.
الكفاءة. من خلال التصفية للحصول على درجات EPSS عالية، يمكن للفرق تقليل تراكم الإصلاحات بنسبة تصل إلى 85% بينما لا تزال تعالج التهديدات الأكثر خطورة.
كيف يعمل EPSS
EPSS ليس رقمًا ثابتًا. إنه نموذج تعلم آلي يتم تحديثه يوميًا. يحلل كميات هائلة من البيانات لتوليد درجة احتمالية.
1. جمع البيانات
يقوم النموذج بجمع البيانات من مصادر متعددة:
- قوائم CVE: بيانات MITRE وNVD.
- رمز الاستغلال: توفر سكربتات الاستغلال في أدوات مثل Metasploit أو ExploitDB.
- النشاط في الواقع: سجلات من الجدران النارية، IDSs، وhoneypots تظهر هجمات نشطة.
- الحديث في الشبكة المظلمة: مناقشات في منتديات القراصنة.
2. حساب الاحتمالية
يحسب النموذج درجة من 0.00 (0%) إلى 1.00 (100%).
- 0.95 يعني أن هناك احتمالًا بنسبة 95% أن يتم استغلال هذه الثغرة الآن أو قريبًا.
- 0.01 يعني أنه من غير المحتمل جدًا أن يتم استغلالها.
3. التطبيق
تقوم أدوات الأمان باستيعاب هذه الدرجة لترتيب قوائم الثغرات. بدلاً من الترتيب حسب “الشدة”، يتم الترتيب حسب “احتمالية الهجوم”.
مثال عملي
تخيل أن الماسح الخاص بك يجد ثغرتين.
الثغرة أ:
- CVSS: 9.8 (حرجة)
- EPSS: 0.02 (2%)
- السياق: إنها تجاوز نظري في مكتبة تستخدمها، لكن لم يتمكن أحد من استغلالها بعد.
الثغرة ب:
- CVSS: 7.5 (عالية)
- EPSS: 0.96 (96%)
- السياق: هذه هي ثغرة Log4j أو تجاوز VPN معروف تستخدمه عصابات الفدية بنشاط اليوم.
بدون EPSS: قد تقوم بإصلاح الثغرة أ أولاً لأن 9.8 > 7.5.
مع EPSS (باستخدام Plexicus):
- تقوم بالتنقل إلى لوحة Plexicus.
- تقوم بتصفية النتائج حسب EPSS > 0.5.
- يبرز Plexicus الثغرة ب فورًا.
- تقوم بإصلاح الثغرة ب أولاً لأنها تهديد فوري. تذهب الثغرة أ إلى قائمة الانتظار.
النتيجة: أوقفت مسار هجوم نشط بدلاً من إصلاح خطأ نظري.
من يستخدم EPSS
- مديرو الثغرات - لتحديد أي التصحيحات يجب دفعها إلى الإنتاج هذا الأسبوع.
- محللو استخبارات التهديدات - لفهم مشهد التهديد الحالي.
- مديرو أمن المعلومات (CISOs) - لتبرير الميزانية وتخصيص الموارد بناءً على المخاطر بدلاً من الخوف.
- فرق DevSecOps - لأتمتة كسر البنيات فقط للثغرات التي تهم.
متى يتم تطبيق EPSS
يجب استخدام EPSS خلال مرحلة الفرز والمعالجة لإدارة الثغرات.
- أثناء الفرز - عندما يكون لديك 500 خطأ حرج ووقت لإصلاح 50 فقط.
- في السياسة - وضع قواعد مثل “تصحيح أي شيء بنسبة EPSS > 50% خلال 24 ساعة.”
- في التقارير - إظهار القيادة أنك تقلل “المخاطر القابلة للاستغلال” وليس فقط إغلاق التذاكر.
القدرات الرئيسية لأدوات EPSS
الأدوات التي تدمج EPSS توفر عادةً:
- التسجيل المزدوج: عرض CVSS وEPSS جنبًا إلى جنب.
- الأولوية الديناميكية: إعادة ترتيب الثغرات يوميًا مع تغير درجات EPSS.
- قبول المخاطر: وضع علامات بأمان على الثغرات ذات EPSS المنخفضة كـ “قبول المخاطر” لفترة محددة.
- السياق الغني: ربط الدرجة بعائلات الاستغلال المحددة (مثل “يستخدمها مجموعة الفدية X”).
أمثلة على الأدوات: منصات إدارة الثغرات وPlexicus ASPM، التي تستخدم EPSS لتصفية الضوضاء من عمليات فحص الكود.
أفضل الممارسات لـ EPSS
- دمج CVSS وEPSS: لا تتجاهل CVSS. “الكأس المقدسة” للأولوية هي CVSS عالي + EPSS عالي.
- تحديد العتبات: تعريف ما يعنيه “عالي” بالنسبة لمنظمتك. تبدأ العديد من الفرق في تحديد الأولويات عند EPSS > 0.1 (10%) لأن الدرجة المتوسطة منخفضة جدًا.
- الأتمتة: استخدام واجهات برمجة التطبيقات لسحب درجات EPSS إلى نظام التذاكر الخاص بك (Jira).
- المراجعة اليومية: تتغير درجات EPSS. يمكن أن تقفز الثغرة بدرجة 0.01 اليوم إلى 0.80 غدًا إذا تم نشر إثبات المفهوم (PoC) على تويتر.
المصطلحات ذات الصلة
- CVSS (نظام تسجيل الثغرات الشائعة)
- إدارة الثغرات
- CVE (الثغرات الشائعة والتعرضات)
- استغلال اليوم الصفري
الأسئلة الشائعة: درجة EPSS
1. ما هي درجة EPSS الجيدة؟
لا توجد درجة “جيدة”، ولكن كلما كانت أقل كان ذلك أفضل للسلامة. معظم الثغرات لها درجات منخفضة جدًا (تحت 0.05). إذا كانت الدرجة فوق 0.10 (10%)، فهي في أعلى نسبة مئوية من التهديدات ويجب التحقيق فيها. الدرجة فوق 0.50 تعتبر حالة طارئة.
2. هل يحل EPSS محل CVSS؟
لا. يقيس CVSS الخطورة (التأثير). يقيس EPSS الاحتمالية (التهديد). تحتاج إلى كليهما. خطأ منخفض الخطورة مع احتمالية عالية مزعج ولكنه قابل للإدارة. خطأ عالي الخطورة مع احتمالية عالية يعتبر أزمة.
3. كم مرة يتم تحديث EPSS؟
يتم إعادة تدريب النموذج وتحديث الدرجات يوميًا بواسطة FIRST.org.
4. لماذا تظهر ثغرتي الحرجة بدرجة EPSS منخفضة؟
لأنها قد تكون صعبة جدًا للاستغلال. ربما تتطلب الوصول الفعلي إلى الخادم، أو ربما يكون كود الاستغلال معقدًا وغير مستقر. يفضل المهاجمون الأهداف السهلة.
5. هل يمكنني استخدام EPSS للتطبيقات الداخلية؟
يتم حساب EPSS لـ CVEs (الثغرات العامة). لا يولد درجات للثغرات في الأكواد المخصصة (مثل خطأ منطقي محدد في تطبيقك الخاص) إلا إذا كان هذا الخطأ مرتبطًا بمكتبة CVE معروفة.