EPSS-Score (Exploit Prediction Scoring System)

TL;DR: EPSS-Score

Das Exploit Prediction Scoring System (EPSS) ist ein datengestützter Standard, der die Wahrscheinlichkeit schätzt, dass eine spezifische Software-Schwachstelle in freier Wildbahn ausgenutzt wird.

Dieser Prozess wird Ihnen helfen:

• Priorisieren, was zuerst behoben werden soll basierend auf realen Bedrohungsdaten.
• Reduzierung der Alarmmüdigkeit durch Ignorieren von hochgradigen Schwachstellen, die von Angreifern tatsächlich nicht ins Visier genommen werden.
• Optimierung der Sicherheitsressourcen durch Fokussierung auf die 5% der Schwachstellen, die ein echtes Risiko darstellen.

Das Ziel von EPSS ist es, Ihnen zu sagen, wie wahrscheinlich es ist, dass eine Schwachstelle angegriffen wird, und nicht nur, wie schädlich der Angriff wäre.

Was ist der EPSS-Score

Der EPSS-Score ist eine Metrik zwischen 0 und 1 (oder 0% bis 100%), die die Wahrscheinlichkeit darstellt, dass eine spezifische Schwachstelle (CVE) innerhalb der nächsten 30 Tage ausgenutzt wird.

Er wird vom Forum of Incident Response and Security Teams (FIRST) verwaltet, derselben Organisation, die auch CVSS verwaltet. Während CVSS die Schwere einer Schwachstelle misst (wie schlimm sie ist), misst EPSS die Bedrohung (wie wahrscheinlich es ist, dass sie eintritt).

Einfach ausgedrückt:

CVSS sagt Ihnen: „Dieses Fenster ist kaputt, und es ist ein großes Fenster.“ EPSS sagt Ihnen: „Da steht ein Einbrecher direkt vor diesem speziellen Fenster.“

Warum EPSS wichtig ist

Sicherheitsteams ertrinken in „kritischen“ Warnungen. Ein typischer Unternehmensscan könnte Tausende von Schwachstellen mit einem CVSS-Score von 9,0 oder höher anzeigen. Es ist unmöglich, sie alle sofort zu beheben.

Warum ist EPSS also wichtig:

CVSS ist nicht genug. Forschung zeigt, dass weniger als 5 % aller veröffentlichten CVEs jemals in freier Wildbahn ausgenutzt werden. Wenn Sie Schwachstellen nur basierend auf der CVSS-Schwere beheben, verschwenden Sie Zeit mit der Behebung von Fehlern, die niemand angreift.

Priorisierung in der realen Welt. EPSS nutzt aktuelle Bedrohungsinformationen. Eine Schwachstelle mag auf dem Papier gefährlich aussehen (hoher CVSS), aber wenn kein Exploit-Code existiert und keine Angreifer sie nutzen, wird der EPSS-Wert niedrig sein.

Effizienz. Durch das Filtern nach hohen EPSS-Werten können Teams ihren Behebungsrückstand um bis zu 85 % reduzieren und dennoch die gefährlichsten Bedrohungen adressieren.

Wie EPSS funktioniert

EPSS ist keine statische Zahl. Es handelt sich um ein maschinelles Lernmodell, das täglich aktualisiert wird. Es analysiert enorme Datenmengen, um eine Wahrscheinlichkeitsbewertung zu generieren.

1. Datensammlung

Das Modell nimmt Daten aus verschiedenen Quellen auf:

• CVE-Listen: Daten von MITRE und NVD.
• Exploit-Code: Verfügbarkeit von Exploit-Skripten in Tools wie Metasploit oder ExploitDB.
• Aktivität in freier Wildbahn: Protokolle von Firewalls, IDSs und Honeypots, die aktive Angriffe zeigen.
• Dark-Web-Gespräche: Diskussionen in Hackerforen.

2. Wahrscheinlichkeitsberechnung

Das Modell berechnet einen Wert von 0,00 (0 %) bis 1,00 (100 %).

• 0,95 bedeutet, dass es eine 95%ige Wahrscheinlichkeit gibt, dass diese Schwachstelle gerade ausgenutzt wird oder bald ausgenutzt wird.
• 0,01 bedeutet, dass es höchst unwahrscheinlich ist, dass sie ausgenutzt wird.

3. Anwendung

Sicherheitstools verwenden diesen Wert, um Schwachstellenlisten zu sortieren. Anstatt nach „Schweregrad“ zu sortieren, sortieren Sie nach „Wahrscheinlichkeit eines Angriffs“.

Beispiel in der Praxis

Stellen Sie sich vor, Ihr Scanner findet zwei Schwachstellen.

Schwachstelle A:

• CVSS: 9.8 (Kritisch)
• EPSS: 0.02 (2%)
• Kontext: Es handelt sich um einen theoretischen Überlauf in einer Bibliothek, die Sie verwenden, aber niemand hat bisher herausgefunden, wie man ihn ausnutzen kann.

Schwachstelle B:

• CVSS: 7.5 (Hoch)
• EPSS: 0.96 (96%)
• Kontext: Dies ist die Log4j-Schwachstelle oder ein bekannter VPN-Bypass, den Ransomware-Gruppen derzeit aktiv nutzen.

Ohne EPSS: Sie könnten zuerst Schwachstelle A beheben, weil 9.8 > 7.5.

Mit EPSS (unter Verwendung von Plexicus):

1. Sie navigieren zum Plexicus-Dashboard.
2. Sie filtern die Funde nach EPSS > 0.5.
3. Plexicus hebt Schwachstelle B sofort hervor.
4. Sie beheben zuerst Schwachstelle B, da sie eine unmittelbare Bedrohung darstellt. Schwachstelle A wird in den Rückstand verschoben.

Ergebnis: Sie haben einen aktiven Angriffsvektor gestoppt, anstatt einen theoretischen Fehler zu beheben.

Wer verwendet EPSS

• Schwachstellenmanager - um zu entscheiden, welche Patches diese Woche in die Produktion gebracht werden sollen.
• Threat Intelligence Analysten - um die aktuelle Bedrohungslandschaft zu verstehen.
• CISOs - um Budget- und Ressourcenallokationen basierend auf Risiko statt Angst zu rechtfertigen.
• DevSecOps-Teams - um das Brechen von Builds nur für relevante Schwachstellen zu automatisieren.

Wann EPSS angewendet werden sollte

EPSS sollte während der Triage- und Behebungsphase des Schwachstellenmanagements verwendet werden.

• Während der Triage - Wenn Sie 500 kritische Fehler haben und nur Zeit, 50 zu beheben.
• In der Richtlinie - Setzen Sie Regeln wie „Patchen Sie alles mit EPSS > 50 % innerhalb von 24 Stunden.“
• Im Reporting - Zeigen Sie der Führung, dass Sie das „ausnutzbare Risiko“ reduzieren und nicht nur Tickets schließen.

Hauptfunktionen von EPSS-Tools

Tools, die EPSS integrieren, bieten typischerweise:

• Duale Bewertung: Anzeige von CVSS und EPSS nebeneinander.
• Dynamische Priorisierung: Tägliche Neusortierung von Schwachstellen, da sich EPSS-Werte ändern.
• Risikobereitschaft: Sicheres Markieren von Schwachstellen mit niedrigem EPSS als „Risiko akzeptieren“ für einen festgelegten Zeitraum.
• Reicher Kontext: Verknüpfung der Bewertung mit den spezifischen Exploit-Familien (z.B. „Verwendet von Ransomware-Gruppe X“).

Beispieltools: Schwachstellenmanagement-Plattformen und Plexicus ASPM,** das EPSS verwendet, um Lärm aus Code-Scans herauszufiltern.

Beste Praktiken für EPSS

• Kombinieren Sie CVSS und EPSS: Ignorieren Sie CVSS nicht. Der „Heilige Gral“ der Priorisierung ist Hoher CVSS + Hoher EPSS.
• Setzen Sie Schwellenwerte: Definieren Sie, was „hoch“ für Ihre Organisation bedeutet. Viele Teams beginnen mit der Priorisierung bei EPSS > 0,1 (10 %), da der Durchschnittswert sehr niedrig ist.
• Automatisieren: Verwenden Sie APIs, um EPSS-Werte in Ihr Ticketsystem (Jira) zu ziehen.
• Täglich überprüfen: EPSS-Werte ändern sich. Eine Schwachstelle mit einem Wert von 0,01 heute könnte auf 0,80 springen, wenn ein Proof of Concept (PoC) auf Twitter veröffentlicht wird.

Verwandte Begriffe

• CVSS (Common Vulnerability Scoring System)
• Schwachstellenmanagement
• CVE (Common Vulnerabilities and Exposures)
• Zero-Day-Exploit