EPSS-pisteet (Exploit Prediction Scoring System)

TL;DR: EPSS-pisteet

Exploit Prediction Scoring System (EPSS) on tietoon perustuva standardi, joka arvioi todennäköisyyttä, että tiettyä ohjelmiston haavoittuvuutta hyödynnetään luonnossa.

Tämä prosessi auttaa sinua:

• Priorisoimaan, mitä korjata ensin perustuen todellisiin uhkatietoihin.
• Vähentämään hälytysväsymystä jättämällä huomiotta korkean vakavuusasteen haavoittuvuudet, joita hyökkääjät eivät todellisuudessa kohdenna.
• Optimoimaan turvallisuusresurssit keskittymällä 5%
  haavoittuvuuksista, jotka aiheuttavat todellisen riskin.

EPSS

tavoitteena on kertoa sinulle kuinka todennäköistä on, että haavoittuvuutta hyökätään, ei vain kuinka vahingollinen hyökkäys olisi.

Mikä on EPSS-pisteet

EPSS-pisteet on mittari välillä 0 ja 1 (tai 0% - 100%), joka edustaa todennäköisyyttä, että tietty haavoittuvuus (CVE) hyödynnetään seuraavien 30 päivän aikana.

Sitä hallinnoi Forum of Incident Response and Security Teams (FIRST), sama organisaatio, joka hallinnoi CVSS

. Kun CVSS mittaa haavoittuvuuden vakavuutta (kuinka paha se on), EPSS mittaa uhkaa (kuinka todennäköistä se on tapahtua).

Yksinkertaisesti sanottuna :

CVSS kertoo sinulle, “Tämä ikkuna on rikki, ja se on iso ikkuna.” EPSS kertoo sinulle, “Tämän tietyn ikkunan ulkopuolella seisoo murtovaras.”

Miksi EPSS on tärkeä

Turvatiimit hukkuvat “Kriittisiin” hälytyksiin. Tyypillinen yrityksen skannaus saattaa näyttää tuhansia haavoittuvuuksia, joiden CVSS-pisteet ovat 9.0 tai korkeammat. On mahdotonta korjata niitä kaikkia välittömästi.

Joten miksi EPSS on tärkeä :

CVSS ei riitä. Tutkimukset osoittavat, että alle 5 % kaikista julkaistuista CVE

hyödynnetään koskaan luonnossa. Jos korjaat haavoittuvuuksia pelkästään CVSS vakavuuden perusteella, tuhlaat aikaa korjaamalla virheitä, joita kukaan ei hyökkää.

Reaaliaikainen priorisointi. EPSS käyttää ajankohtaista uhkatiedustelua. Haavoittuvuus saattaa näyttää vaaralliselta paperilla (korkea CVSS), mutta jos hyökkäyskoodia ei ole olemassa eikä hyökkääjiä käytä sitä, EPSS-pisteet ovat alhaiset.

Tehokkuus. Suodattamalla korkeat EPSS-pisteet, tiimit voivat vähentää korjausjonoaan jopa 85 % ja silti käsitellä vaarallisimmat uhat.

Kuinka EPSS toimii

EPSS ei ole staattinen numero. Se on koneoppimismalli, joka päivittyy päivittäin. Se analysoi valtavia määriä dataa tuottaakseen todennäköisyyspisteen.

1. Datan kerääminen

Malli kerää dataa useista lähteistä:

• CVE-listat: MITRE
  ja NVD
  data.
• Hyökkäyskoodi: Hyökkäysskriptien saatavuus työkaluissa kuten Metasploit tai ExploitDB.
• Luonnon aktiivisuus: Palomuurien, IDS
  ja honeypottien lokit, jotka osoittavat aktiivisia hyökkäyksiä.
• Dark Web -keskustelut: Keskustelut hakkerifoorumeilla.

2. Todennäköisyyden laskeminen

Malli laskee pisteen välillä 0,00 (0 %) ja 1,00 (100 %).

• 0,95 tarkoittaa, että on 95 % todennäköisyys, että tätä haavoittuvuutta hyödynnetään juuri nyt tai pian.
• 0,01 tarkoittaa, että on erittäin epätodennäköistä, että sitä hyödynnetään.

3. Soveltaminen

Tietoturvatyökalut käyttävät tätä pistettä haavoittuvuuslistojen lajitteluun. Sen sijaan, että lajittelisit “vakavuuden” mukaan, lajittelet “hyökkäyksen todennäköisyyden” mukaan.

Esimerkki käytännössä

Kuvittele, että skannerisi löytää kaksi haavoittuvuutta.

Haavoittuvuus A:

• CVSS: 9.8 (Kriittinen)
• EPSS: 0.02 (2%)
• Konteksti: Se on teoreettinen ylivuoto käyttämässäsi kirjastossa, mutta kukaan ei ole vielä keksinyt, miten sitä voisi hyödyntää.

Haavoittuvuus B:

• CVSS: 7.5 (Korkea)
• EPSS: 0.96 (96%)
• Konteksti: Tämä on Log4j-haavoittuvuus tai tunnettu VPN-kiertotapa, jota kiristysohjelmaryhmät käyttävät aktiivisesti tänään.

Ilman EPSS: Saatat korjata ensin Haavoittuvuuden A, koska 9.8 > 7.5.

EPSS

kanssa (käyttäen Plexicusta):

1. Navigoit Plexicus Dashboard -näkymään.
2. Suodatat löydökset EPSS > 0.5 mukaan.
3. Plexicus korostaa heti Haavoittuvuuden B.
4. Korjaat ensin Haavoittuvuuden B, koska se on välitön uhka. Haavoittuvuus A menee taustalle.

Tulos: Estit aktiivisen hyökkäysvektorin sen sijaan, että olisit korjannut teoreettisen virheen.

Kuka käyttää EPSS

• Haavoittuvuuksien hallinnoijat - päättääkseen, mitkä korjaukset viedään tuotantoon tällä viikolla.
• Uhkatiedusteluanalyytikot - ymmärtääkseen nykyistä uhkakenttää.
• CISOt - perustellakseen budjetti- ja resurssiallokaatioita riskin eikä pelon perusteella.
• DevSecOps-tiimit - automatisoidakseen rakennusten katkaisemisen vain merkityksellisten haavoittuvuuksien vuoksi.

Milloin soveltaa EPSS

EPSS

tulisi käyttää haavoittuvuuksien hallinnan Triage ja korjaus -vaiheessa.

• Kolmivaiheinen käsittely - Kun sinulla on 500 kriittistä bugia ja aikaa korjata vain 50.
• Käytännössä - Aseta säännöt, kuten “Korjaa kaikki, joiden EPSS on yli 50 %, 24 tunnin kuluessa.”
• Raportoinnissa - Näytä johdolle, että vähennät “hyödynnettävissä olevaa riskiä”, et vain sulje tikettejä.

EPSS-työkalujen keskeiset ominaisuudet

Työkalut, jotka integroivat EPSS

, tarjoavat yleensä:

• Kaksoispisteytys: Näyttää CVSS
  ja EPSS
  rinnakkain.
• Dynaaminen priorisointi: Uudelleenjärjestää haavoittuvuudet päivittäin EPSS-pisteiden muuttuessa.
• Riskin hyväksyminen: Merkitsee turvallisesti matalan EPSS
  haavoittuvuudet “Hyväksy riski” tietylle ajanjaksolle.
• Rikas konteksti: Liittää pisteen tiettyihin hyväksikäyttöperheisiin (esim. “Käytössä kiristysohjelmaryhmä X”).

Esimerkki työkaluista: Haavoittuvuuden hallinta-alustat ja Plexicus ASPM, joka käyttää EPSS

suodattamaan pois koodiskannausten kohinaa.

Parhaat käytännöt EPSS

• Yhdistä CVSS ja EPSS: Älä jätä huomiotta CVSS
  . Priorisoinnin “Pyhä Graali” on Korkea CVSS + Korkea EPSS.
• Aseta kynnysarvot: Määritä, mitä “Korkea” tarkoittaa organisaatiollesi. Monet tiimit alkavat priorisoida, kun EPSS on yli 0,1 (10 %), koska keskimääräinen piste on hyvin matala.
• Automatisoi: Käytä API
  tuodaksesi EPSS-pisteet tikettijärjestelmääsi (Jira).
• Tarkista päivittäin: EPSS-pisteet muuttuvat. Haavoittuvuus, jonka piste on tänään 0,01, voi hypätä 0,80
  huomenna, jos Proof of Concept (PoC) julkaistaan Twitterissä.

Liittyvät termit

• CVSS (Common Vulnerability Scoring System)
• Haavoittuvuuksien hallinta
• CVE (Common Vulnerabilities and Exposures)
• Nollapäivähaavoittuvuus