EPSS Score (Exploit Prediction Scoring System)

TL;DR: EPSS Score

Exploit Prediction Scoring System (EPSS) er en datadrevet standard, der estimerer sandsynligheden for, at en specifik software-sårbarhed vil blive udnyttet i det fri.

Denne proces vil hjælpe dig med at:

• Prioritere hvad der skal rettes først baseret på trusselsdata fra den virkelige verden.
• Reducere alarmtræthed ved at ignorere høj-severitets sårbarheder, som angribere faktisk ikke målretter.
• Optimere sikkerhedsressourcer ved at fokusere på de 5% af sårbarheder, der udgør en reel risiko.

Målet med EPSS er at fortælle dig hvor sandsynligt det er, at en sårbarhed vil blive angrebet, ikke kun hvor skadelig angrebet ville være.

Hvad er EPSS Score

EPSS Score er en metrik mellem 0 og 1 (eller 0% til 100%), der repræsenterer sandsynligheden for, at en specifik sårbarhed (CVE) vil blive udnyttet inden for de næste 30 dage.

Det administreres af Forum of Incident Response and Security Teams (FIRST), den samme organisation, der administrerer CVSS. Mens CVSS måler alvorligheden af en sårbarhed (hvor slem den er), måler EPSS truslen (hvor sandsynligt det er, at det sker).

I enkle termer :

CVSS fortæller dig, “Dette vindue er knust, og det er et stort vindue.” EPSS fortæller dig, “Der står en indbrudstyv lige uden for det specifikke vindue.”

Hvorfor EPSS er vigtigt

Sikkerhedsteams drukner i “Kritiske” alarmer. En typisk virksomhedsscanning kan vise tusindvis af sårbarheder med en CVSS-score på 9,0 eller højere. Det er umuligt at rette dem alle med det samme.

Så hvorfor er EPSS vigtigt :

CVSS er ikke nok. Forskning viser, at mindre end 5% af alle offentliggjorte CVE’er nogensinde bliver udnyttet i praksis. Hvis du kun retter sårbarheder baseret på CVSS-severitet, spilder du tid på at rette fejl, som ingen angriber.

Prioritering i den virkelige verden. EPSS bruger aktuel trusselsintelligens. En sårbarhed kan se farlig ud på papiret (Høj CVSS), men hvis der ikke findes nogen udnyttelseskode, og ingen angribere bruger den, vil EPSS-scoren være lav.

Effektivitet. Ved at filtrere for høje EPSS-scorer kan teams reducere deres afhjælpningsbaglog med op til 85% og stadig adressere de farligste trusler.

Hvordan EPSS fungerer

EPSS er ikke et statisk tal. Det er en maskinlæringsmodel, der opdateres dagligt. Den analyserer enorme mængder data for at generere en sandsynlighedsscore.

1. Dataindsamling

Modellen indtager data fra flere kilder:

• CVE-lister: MITRE og NVD-data.
• Udnyttelseskode: Tilgængelighed af udnyttelsesscripts i værktøjer som Metasploit eller ExploitDB.
• Aktivitet i det fri: Logfiler fra firewalls, IDS’er og honeypots, der viser aktive angreb.
• Mørk websnak: Diskussioner på hackerfora.

2. Sandsynlighedsberegning

Modellen beregner en score fra 0,00 (0%) til 1,00 (100%).

• 0,95 betyder, at der er 95% chance for, at denne sårbarhed bliver udnyttet lige nu eller snart vil blive det.
• 0,01 betyder, at det er meget usandsynligt at blive udnyttet.

3. Anvendelse

Sikkerhedsværktøjer indtager denne score for at sortere sårbarhedslister. I stedet for at sortere efter “Severitet,” sorterer du efter “Sandsynlighed for angreb.”

Eksempel i praksis

Forestil dig, at din scanner finder to sårbarheder.

Sårbarhed A:

• CVSS: 9.8 (Kritisk)
• EPSS: 0.02 (2%)
• Kontekst: Det er en teoretisk overflow i et bibliotek, du bruger, men ingen har fundet ud af, hvordan man udnytter det endnu.

Sårbarhed B:

• CVSS: 7.5 (Høj)
• EPSS: 0.96 (96%)
• Kontekst: Dette er Log4j-sårbarheden eller en kendt VPN-omgåelse, som ransomware-grupper aktivt bruger i dag.

Uden EPSS: Du ville måske rette Sårbarhed A først, fordi 9.8 > 7.5.

Med EPSS (ved brug af Plexicus):

1. Du navigerer til Plexicus Dashboard.
2. Du filtrerer fund ved EPSS > 0.5.
3. Plexicus fremhæver straks Sårbarhed B.
4. Du retter Sårbarhed B først, fordi det er en umiddelbar trussel. Sårbarhed A går i bagkataloget.

Resultat: Du stoppede en aktiv angrebsvektor i stedet for at rette en teoretisk fejl.

Hvem bruger EPSS

• Sårbarhedsledere - til at beslutte, hvilke patches der skal implementeres i produktionen denne uge.
• Trusselsintelligensanalytikere - til at forstå det nuværende trusselslandskab.
• CISO’er - til at retfærdiggøre budget og ressourceallokering baseret på risiko frem for frygt.
• DevSecOps Teams - til at automatisere afbrydelse af builds kun for sårbarheder, der betyder noget.

Hvornår skal EPSS anvendes

EPSS bør anvendes under Triage og Afhjælpning-fasen af sårbarhedshåndtering.

• Under Triage - Når du har 500 kritiske fejl og kun tid til at rette 50.
• I Politik - Sæt regler som “Patch alt med EPSS > 50% inden for 24 timer.”
• I Rapportering - Vis ledelsen, at du reducerer “Udnyttelig Risiko,” ikke bare lukker billetter.

Nøglefunktioner i EPSS-værktøjer

Værktøjer, der integrerer EPSS, tilbyder typisk:

• Dobbelt Scoring: Viser CVSS og EPSS side om side.
• Dynamisk Prioritering: Omprioritering af sårbarheder dagligt, efterhånden som EPSS-scorer ændres.
• Risikotagelse: Sikkert markere lav-EPSS sårbarheder som “Accepter Risiko” i en bestemt periode.
• Rig Kontekst: Forbinder scoren til de specifikke udnyttelsesfamilier (f.eks. “Brugt af Ransomware Gruppe X”).

Eksempelværktøjer: Sårbarhedsstyringsplatforme og Plexicus ASPM,** som bruger EPSS til at filtrere støj fra kodescanninger.

Bedste Praksis for EPSS

• Kombiner CVSS og EPSS: Ignorer ikke CVSS. Den “Hellige Gral” af prioritering er Høj CVSS + Høj EPSS.
• Sæt Tærskler: Definer hvad “Høj” betyder for din organisation. Mange teams begynder at prioritere ved EPSS > 0.1 (10%), fordi den gennemsnitlige score er meget lav.
• Automatiser: Brug API’er til at hente EPSS-scorer ind i dit billetsystem (Jira).
• Gennemgå Dagligt: EPSS-scorer ændres. En sårbarhed med en 0.01 score i dag kan springe til 0.80 i morgen, hvis et Proof of Concept (PoC) offentliggøres på Twitter.

Relaterede Termer

• CVSS (Common Vulnerability Scoring System)
• Sårbarhedsstyring
• CVE (Common Vulnerabilities and Exposures)
• Zero-Day Exploit