EPSS Skóre (Exploit Prediction Scoring System)

TL;DR: EPSS Skóre

Exploit Prediction Scoring System (EPSS) je standard založený na datech, který odhaduje pravděpodobnost, že konkrétní softwarová zranitelnost bude zneužita v reálném světě.

Tento proces vám pomůže:

• Prioritizovat, co opravit jako první na základě dat o reálných hrozbách.
• Snížit únavu z upozornění ignorováním zranitelností s vysokou závažností, na které útočníci ve skutečnosti necílí.
• Optimalizovat bezpečnostní zdroje zaměřením se na 5 % zranitelností, které představují skutečné riziko.

Cílem EPSS je říci vám, jak pravděpodobné je, že bude zranitelnost napadena, nikoli jen jak škodlivý by útok byl.

Co je EPSS Skóre

EPSS Skóre je metrika mezi 0 a 1 (nebo 0 % až 100 %), která představuje pravděpodobnost, že konkrétní zranitelnost (CVE) bude zneužita během následujících 30 dnů.

Je spravováno Fórumem týmů pro reakci na incidenty a bezpečnost (FIRST), stejnou organizací, která spravuje CVSS. Zatímco CVSS měří závažnost zranitelnosti (jak špatná je), EPSS měří hrozbu (jak pravděpodobné je, že se stane).

Jednoduše řečeno :

CVSS vám říká: „Toto okno je rozbité a je to velké okno.“ EPSS vám říká: „Přímo u toho konkrétního okna stojí zloděj.“

Proč je EPSS důležitý

Bezpečnostní týmy se topí v „kritických“ upozorněních. Typické podnikové skenování může ukázat tisíce zranitelností s CVSS skóre 9,0 nebo vyšším. Není možné je všechny okamžitě opravit.

Tak proč je EPSS důležitý :

CVSS nestačí. Výzkum ukazuje, že méně než 5 % všech publikovaných CVE je kdy zneužito v praxi. Pokud opravujete zranitelnosti pouze na základě závažnosti CVSS, ztrácíte čas opravováním chyb, na které nikdo neútočí.

Prioritizace v reálném světě. EPSS využívá aktuální zpravodajské informace o hrozbách. Zranitelnost může na papíře vypadat nebezpečně (vysoké CVSS), ale pokud neexistuje žádný exploit kód a žádní útočníci ji nepoužívají, skóre EPSS bude nízké.

Efektivita. Filtrováním pro vysoká skóre EPSS mohou týmy snížit svou remediační zátěž až o 85 %, zatímco stále řeší nejnebezpečnější hrozby.

Jak EPSS funguje

EPSS není statické číslo. Je to model strojového učení, který se aktualizuje denně. Analyzuje obrovské množství dat, aby vygeneroval pravděpodobnostní skóre.

1. Sběr dat

Model přijímá data z více zdrojů:

• Seznamy CVE: Data MITRE a NVD.
• Exploit kód: Dostupnost exploit skriptů v nástrojích jako Metasploit nebo ExploitDB.
• Aktivita v terénu: Logy z firewallů, IDS a honeypotů ukazující aktivní útoky.
• Diskuze na Dark Webu: Diskuze na hackerských fórech.

2. Výpočet pravděpodobnosti

Model vypočítává skóre od 0,00 (0 %) do 1,00 (100 %).

• 0,95 znamená, že je 95% šance, že tato zranitelnost je právě teď zneužívána nebo brzy bude.
• 0,01 znamená, že je velmi nepravděpodobné, že bude zneužita.

3. Aplikace

Bezpečnostní nástroje přijímají toto skóre k třídění seznamů zranitelností. Místo třídění podle „Závažnosti“ třídíte podle „Pravděpodobnosti útoku“.

Příklad v praxi

Představte si, že váš skener nalezne dvě zranitelnosti.

Zranitelnost A:

• CVSS: 9.8 (Kritická)
• EPSS: 0.02 (2%)
• Kontext: Jedná se o teoretický přetečení v knihovně, kterou používáte, ale nikdo zatím nepřišel na to, jak ji zneužít.

Zranitelnost B:

• CVSS: 7.5 (Vysoká)
• EPSS: 0.96 (96%)
• Kontext: Jedná se o zranitelnost Log4j nebo známé obejití VPN, které dnes aktivně využívají ransomware gangy.

Bez EPSS: Možná byste nejprve opravili Zranitelnost A, protože 9.8 > 7.5.

S EPSS (použitím Plexicus):

1. Navigujete na Plexicus Dashboard.
2. Filtrujete nálezy podle EPSS > 0.5.
3. Plexicus okamžitě zvýrazní Zranitelnost B.
4. Nejprve opravíte Zranitelnost B, protože představuje okamžitou hrozbu. Zranitelnost A jde do backlogu.

Výsledek: Zastavili jste aktivní vektor útoku místo opravování teoretické chyby.

Kdo používá EPSS

• Manažeři zranitelností - k rozhodnutí, které opravy nasadit do produkce tento týden.
• Analytici hrozeb - k pochopení aktuálního hrozebního prostředí.
• CISO - k ospravedlnění rozpočtu a alokace zdrojů na základě rizika, nikoli strachu.
• DevSecOps týmy - k automatizaci přerušení buildů pouze pro zranitelnosti, na kterých záleží.

Kdy aplikovat EPSS

EPSS by měl být použit během fáze Třídění a nápravy v rámci řízení zranitelností.

• Během třídění - Když máte 500 kritických chyb a čas opravit pouze 50.
• V politice - Nastavte pravidla jako „Opravte cokoliv s EPSS > 50 % do 24 hodin.“
• V reportování - Ukažte vedení, že snižujete „Exploatovatelné riziko,“ nejen uzavíráte tikety.

Klíčové schopnosti nástrojů EPSS

Nástroje, které integrují EPSS, obvykle poskytují:

• Dvojí hodnocení: Zobrazení CVSS a EPSS vedle sebe.
• Dynamická priorizace: Denní přehodnocování zranitelností, jak se mění skóre EPSS.
• Přijetí rizika: Bezpečné označení zranitelností s nízkým EPSS jako „Přijmout riziko“ na stanovenou dobu.
• Bohatý kontext: Propojení skóre s konkrétními rodinami exploitů (např. „Používá skupina Ransomware X“).

Příklady nástrojů: Platformy pro správu zranitelností a Plexicus ASPM, který používá EPSS k filtrování šumu z kontrol kódu.

Nejlepší praktiky pro EPSS

• Kombinujte CVSS a EPSS: Neignorujte CVSS. „Svatý grál“ prioritizace je Vysoké CVSS + Vysoké EPSS.
• Nastavte prahy: Definujte, co znamená „Vysoké“ pro vaši organizaci. Mnoho týmů začíná prioritizovat při EPSS > 0.1 (10 %), protože průměrné skóre je velmi nízké.
• Automatizujte: Používejte API k načítání skóre EPSS do vašeho systému pro správu tiketů (Jira).
• Denní přezkoumání: Skóre EPSS se mění. Zranitelnost s hodnocením 0.01 dnes může zítra vyskočit na 0.80, pokud je na Twitteru publikován důkaz konceptu (PoC).

Související termíny

• CVSS (Common Vulnerability Scoring System)
• Správa zranitelností
• CVE (Common Vulnerabilities and Exposures)
• Zero-Day Exploit