Puntuación EPSS (Sistema de Puntuación de Predicción de Explotación)
En resumen: Puntuación EPSS
El Sistema de Puntuación de Predicción de Explotación (EPSS) es un estándar basado en datos que estima la probabilidad de que una vulnerabilidad específica de software sea explotada en el entorno real.
Este proceso te ayudará a:
- Priorizar qué arreglar primero basándote en datos de amenazas del mundo real.
- Reducir la fatiga de alertas ignorando vulnerabilidades de alta severidad que los atacantes no están realmente atacando.
- Optimizar los recursos de seguridad enfocándote en el 5% de las vulnerabilidades que representan un riesgo real.
El objetivo de EPSS es indicarte qué tan probable es que una vulnerabilidad sea atacada, no solo cuán dañino sería el ataque.
Qué es la Puntuación EPSS
La Puntuación EPSS es una métrica entre 0 y 1 (o 0% a 100%) que representa la probabilidad de que una vulnerabilidad específica (CVE) sea explotada dentro de los próximos 30 días.
Está gestionada por el Foro de Equipos de Respuesta a Incidentes y Seguridad (FIRST), la misma organización que gestiona CVSS. Mientras que CVSS mide la severidad de una vulnerabilidad (cuán grave es), EPSS mide la amenaza (qué tan probable es que ocurra).
En términos simples:
CVSS te dice, “Esta ventana está rota, y es una ventana grande.” EPSS te dice, “Hay un ladrón parado justo afuera de esa ventana específica.”
Por qué importa EPSS
Los equipos de seguridad están ahogados en alertas “Críticas”. Un escaneo típico de una empresa podría mostrar miles de vulnerabilidades con una puntuación CVSS de 9.0 o superior. Es imposible arreglarlas todas de inmediato.
Entonces, ¿por qué es importante EPSS:
CVSS no es suficiente. La investigación muestra que menos del 5% de todas las CVE publicadas son explotadas en la práctica. Si corriges vulnerabilidades basándote solo en la gravedad de CVSS, estás perdiendo tiempo arreglando errores que nadie está atacando.
Priorización en el mundo real. EPSS utiliza inteligencia de amenazas actual. Una vulnerabilidad puede parecer peligrosa en teoría (CVSS alto), pero si no existe código de explotación y ningún atacante la está utilizando, la puntuación EPSS será baja.
Eficiencia. Al filtrar por puntuaciones EPSS altas, los equipos pueden reducir su acumulación de remediación hasta en un 85% mientras abordan las amenazas más peligrosas.
Cómo funciona EPSS
EPSS no es un número estático. Es un modelo de aprendizaje automático que se actualiza diariamente. Analiza grandes cantidades de datos para generar una puntuación de probabilidad.
1. Recolección de datos
El modelo ingiere datos de múltiples fuentes:
- Listas de CVE: Datos de MITRE y NVD.
- Código de explotación: Disponibilidad de scripts de explotación en herramientas como Metasploit o ExploitDB.
- Actividad en el mundo real: Registros de firewalls, IDS y honeypots que muestran ataques activos.
- Conversaciones en la Dark Web: Discusiones en foros de hackers.
2. Cálculo de probabilidad
El modelo calcula una puntuación de 0.00 (0%) a 1.00 (100%).
- 0.95 significa que hay un 95% de probabilidad de que esta vulnerabilidad esté siendo explotada ahora o lo será pronto.
- 0.01 significa que es muy poco probable que sea explotada.
3. Aplicación
Las herramientas de seguridad ingieren esta puntuación para ordenar las listas de vulnerabilidades. En lugar de ordenar por “Gravedad”, se ordena por “Probabilidad de Ataque”.
Ejemplo en la práctica
Imagina que tu escáner encuentra dos vulnerabilidades.
Vulnerabilidad A:
- CVSS: 9.8 (Crítica)
- EPSS: 0.02 (2%)
- Contexto: Es un desbordamiento teórico en una biblioteca que usas, pero nadie ha descubierto cómo explotarlo aún.
Vulnerabilidad B:
- CVSS: 7.5 (Alta)
- EPSS: 0.96 (96%)
- Contexto: Esta es la vulnerabilidad de Log4j o una conocida vulnerabilidad de bypass de VPN que las bandas de ransomware están utilizando activamente hoy.
Sin EPSS: Podrías arreglar la Vulnerabilidad A primero porque 9.8 > 7.5.
Con EPSS (usando Plexicus):
- Navegas al Panel de Control de Plexicus.
- Filtras los hallazgos por EPSS > 0.5.
- Plexicus resalta inmediatamente la Vulnerabilidad B.
- Parcheas la Vulnerabilidad B primero porque es una amenaza inmediata. La Vulnerabilidad A va al backlog.
Resultado: Detuviste un vector de ataque activo en lugar de parchear un error teórico.
Quién Usa EPSS
- Gestores de Vulnerabilidades - para decidir qué parches implementar en producción esta semana.
- Analistas de Inteligencia de Amenazas - para entender el panorama actual de amenazas.
- CISOs - para justificar la asignación de presupuesto y recursos basados en el riesgo en lugar del miedo.
- Equipos de DevSecOps - para automatizar la interrupción de compilaciones solo para vulnerabilidades que importan.
Cuándo Aplicar EPSS
EPSS debe usarse durante la fase de Triaje y Remediación de la gestión de vulnerabilidades.
- Durante el Triaje - Cuando tienes 500 errores críticos y solo tiempo para arreglar 50.
- En Política - Establecer reglas como “Parchear cualquier cosa con EPSS > 50% dentro de 24 horas.”
- En Informes - Mostrar a la dirección que estás reduciendo el “Riesgo Explotable”, no solo cerrando tickets.
Capacidades Clave de las Herramientas EPSS
Las herramientas que integran EPSS típicamente proporcionan:
- Puntuación Dual: Mostrando CVSS y EPSS lado a lado.
- Priorización Dinámica: Reordenando vulnerabilidades diariamente a medida que cambian las puntuaciones EPSS.
- Aceptación de Riesgo: Marcando de manera segura las vulnerabilidades de bajo EPSS como “Aceptar Riesgo” por un período establecido.
- Contexto Rico: Vinculando la puntuación a las familias de exploits específicas (por ejemplo, “Usado por el Grupo de Ransomware X”).
Ejemplos de herramientas: plataformas de gestión de vulnerabilidades y Plexicus ASPM, que utiliza EPSS para filtrar el ruido de los escaneos de código.
Mejores Prácticas para EPSS
- Combinar CVSS y EPSS: No ignores CVSS. El “Santo Grial” de la priorización es Alto CVSS + Alto EPSS.
- Establecer Umbrales: Define qué significa “Alto” para tu organización. Muchos equipos comienzan a priorizar en EPSS > 0.1 (10%) porque la puntuación promedio es muy baja.
- Automatizar: Usa APIs para extraer puntuaciones EPSS en tu sistema de tickets (Jira).
- Revisar Diariamente: Las puntuaciones EPSS cambian. Una vulnerabilidad con una puntuación de 0.01 hoy podría saltar a 0.80 mañana si se publica un Proof of Concept (PoC) en Twitter.
Términos Relacionados
- CVSS (Sistema de Puntuación de Vulnerabilidades Común)
- Gestión de Vulnerabilidades
- CVE (Vulnerabilidades y Exposiciones Comunes)
- Explotación de Día Cero
FAQ: Puntuación EPSS
1. ¿Cuál es una buena puntuación EPSS?
No hay una puntuación “buena”, pero cuanto más baja, mejor para la seguridad. La mayoría de las vulnerabilidades tienen puntuaciones muy bajas (por debajo de 0.05). Si una puntuación está por encima de 0.10 (10%), está en el percentil superior de amenazas y debe investigarse. Una puntuación por encima de 0.50 es una emergencia.
2. ¿EPSS reemplaza a CVSS?
No. CVSS mide la Severidad (impacto). EPSS mide la Probabilidad (amenaza). Necesitas ambos. Un error de baja severidad con alta probabilidad es molesto pero manejable. Un error de alta severidad con alta probabilidad es una crisis.
3. ¿Con qué frecuencia se actualiza EPSS?
El modelo se reentrena y las puntuaciones se actualizan diariamente por FIRST.org.
4. ¿Por qué mi vulnerabilidad crítica muestra una puntuación EPSS baja?
Porque podría ser muy difícil de explotar. Tal vez requiera acceso físico al servidor, o tal vez el código de explotación sea complejo e inestable. Los atacantes prefieren objetivos fáciles.
5. ¿Puedo usar EPSS para aplicaciones internas?
EPSS se calcula para CVEs (vulnerabilidades públicas). No genera puntuaciones para vulnerabilidades de código personalizado (como un error de lógica específico en tu aplicación privada) a menos que ese error esté mapeado a una biblioteca CVE conocida.