logo
מילון מונחים EPSS Score (Exploit Prediction Scoring System)

ציון EPSS (מערכת ניקוד חיזוי ניצול)

בקצרה: ציון EPSS

מערכת ניקוד חיזוי ניצול (EPSS) היא תקן מבוסס נתונים שמעריך את הסבירות שניצול פגיעות תוכנה ספציפית יתרחש בשטח.

תהליך זה יעזור לך:

  • לתעדף מה לתקן קודם בהתבסס על נתוני איומים מהעולם האמיתי.
  • להפחית עייפות התראות על ידי התעלמות מפגיעויות חמורות שהתקפים אינם מכוונים אליהן בפועל.
  • לייעל משאבי אבטחה על ידי התמקדות ב-5% מהפגיעויות שמציבות סיכון אמיתי.

המטרה של EPSS היא לומר לך כמה סביר שפגיעות תותקף, ולא רק כמה נזק ההתקפה תגרום.

מהו ציון EPSS

ציון EPSS הוא מדד בין 0 ל-1 (או 0% עד 100%) שמייצג את ההסתברות שפגיעות ספציפית (CVE) תנוצל בתוך 30 הימים הבאים.

הוא מנוהל על ידי פורום צוותי תגובה לאירועים ואבטחת מידע (FIRST), אותה ארגון שמנהל את CVSS. בעוד ש-CVSS מודד את חומרת הפגיעות (כמה היא חמורה), EPSS מודד את האיום (כמה סביר שזה יקרה).

במילים פשוטות :

CVSS אומר לך, “החלון הזה שבור, והוא חלון גדול.” EPSS אומר לך, “יש פורץ שעומד ממש מחוץ לחלון הספציפי הזה.”

למה EPSS חשוב

צוותי אבטחה טובעים בהתראות “קריטיות”. סריקה טיפוסית בארגון עשויה להראות אלפי פגיעויות עם ציון CVSS של 9.0 או יותר. בלתי אפשרי לתקן את כולן מיד.

אז למה EPSS חשוב :

CVSS אינו מספיק. מחקרים מראים שפחות מ-5% מכל ה-CVE שפורסמו אי פעם מנוצלים בפועל. אם אתם מתקנים פגיעויות רק על בסיס חומרת CVSS, אתם מבזבזים זמן על תיקון באגים שאף אחד לא תוקף.

תעדוף בעולם האמיתי. EPSS משתמש במודיעין איומים עדכני. פגיעות עשויה להיראות מסוכנת על הנייר (CVSS גבוה), אך אם אין קוד ניצול ואין תוקפים שמשתמשים בה, ציון ה-EPSS יהיה נמוך.

יעילות. על ידי סינון לפי ציוני EPSS גבוהים, צוותים יכולים להפחית את העומס על תיקונים עד 85% ועדיין לטפל באיומים המסוכנים ביותר.

איך EPSS עובד

EPSS אינו מספר סטטי. זהו מודל למידת מכונה שמתעדכן מדי יום. הוא מנתח כמויות עצומות של נתונים כדי לייצר ציון הסתברות.

1. איסוף נתונים

המודל קולט נתונים ממקורות מרובים:

  • רשימות CVE: נתוני MITRE ו-NVD.
  • קוד ניצול: זמינות של סקריפטים לניצול בכלים כמו Metasploit או ExploitDB.
  • פעילות בשטח: יומנים מחומות אש, IDSs, ו-honeypots המראים התקפות פעילות.
  • שיחות ברשת האפלה: דיונים בפורומים של האקרים.

2. חישוב הסתברות

המודל מחשב ציון מ-0.00 (0%) עד 1.00 (100%).

  • 0.95 פירושו שיש סיכוי של 95% שהפגיעות הזו מנוצלת כרגע או תינצל בקרוב.
  • 0.01 פירושו שסביר מאוד שלא תנוצל.

3. יישום

כלי אבטחה קולטים את הציון הזה כדי למיין רשימות פגיעויות. במקום למיין לפי “חומרה”, ממיינים לפי “הסתברות להתקפה”.

דוגמה בפועל

דמיינו שהסורק שלכם מוצא שתי פגיעויות.

פגיעות A:

  • CVSS: 9.8 (קריטי)
  • EPSS: 0.02 (2%)
  • הקשר: מדובר בהצפה תיאורטית בספרייה שאתם משתמשים בה, אך אף אחד עדיין לא הצליח לנצל אותה.

פגיעות B:

  • CVSS: 7.5 (גבוה)
  • EPSS: 0.96 (96%)
  • הקשר: זו הפגיעות של Log4j או עקיפת VPN ידועה שכנופיות כופר משתמשות בהן כיום.

ללא EPSS: ייתכן שתתקנו את פגיעות A קודם כי 9.8 > 7.5.

עם EPSS (באמצעות Plexicus):

  1. אתם מנווטים ללוח המחוונים של Plexicus.
  2. אתם מסננים ממצאים לפי EPSS > 0.5.
  3. Plexicus מדגיש מיד את פגיעות B.
  4. אתם מתקנים את פגיעות B קודם כי היא איום מיידי. פגיעות A נכנסת לרשימת ההמתנה.

תוצאה: עצרתם וקטור התקפה פעיל במקום לתקן באג תיאורטי.

מי משתמש ב-EPSS

  • מנהלי פגיעויות - כדי להחליט אילו תיקונים לדחוף לייצור השבוע.
  • אנליסטים של מודיעין איומים - כדי להבין את נוף האיומים הנוכחי.
  • CISOs - כדי להצדיק תקציב והקצאת משאבים על בסיס סיכון ולא פחד.
  • צוותי DevSecOps - כדי לאוטומטית לשבור בניות רק עבור פגיעויות שחשובות.

מתי ליישם EPSS

EPSS צריך לשמש במהלך שלב המיון והתיקון של ניהול פגיעויות.

  • במהלך מיון - כאשר יש לך 500 באגים קריטיים ורק זמן לתקן 50.
  • במדיניות - קבע כללים כמו “לתקן כל דבר עם EPSS > 50% בתוך 24 שעות.”
  • בדיווח - הראה להנהלה שאתה מפחית “סיכון לניצול”, ולא רק סוגר כרטיסים.

יכולות מפתח של כלים עם EPSS

כלים שמשלבים EPSS בדרך כלל מספקים:

  • ניקוד כפול: הצגת CVSS ו-EPSS זה לצד זה.
  • תעדוף דינמי: דירוג מחדש של פגיעויות יומי כאשר ציוני EPSS משתנים.
  • קבלת סיכון: סימון בטוח של פגיעויות עם EPSS נמוך כ”קבל סיכון” לתקופה מוגדרת.
  • הקשר עשיר: קישור הציון למשפחות ניצול ספציפיות (למשל, “משמש על ידי קבוצת כופר X”).

דוגמאות לכלים: פלטפורמות ניהול פגיעויות ו-Plexicus ASPM, שמשתמש ב-EPSS כדי לסנן רעש מסריקות קוד.

שיטות עבודה מומלצות ל-EPSS

  • שילוב CVSS ו-EPSS: אל תתעלם מ-CVSS. “הגביע הקדוש” של תעדוף הוא CVSS גבוה + EPSS גבוה.
  • קביעת ספים: הגדר מה “גבוה” אומר עבור הארגון שלך. צוותים רבים מתחילים לתעדף ב-EPSS > 0.1 (10%) כי הציון הממוצע נמוך מאוד.
  • אוטומציה: השתמש ב-APIs כדי למשוך ציוני EPSS למערכת הכרטיסים שלך (Jira).
  • סקירה יומית: ציוני EPSS משתנים. פגיעות עם ציון 0.01 היום יכולה לקפוץ ל-0.80 מחר אם Proof of Concept (PoC) מתפרסם בטוויטר.

מונחים קשורים

שאלות נפוצות: ניקוד EPSS

1. מהו ניקוד EPSS טוב?

אין “ניקוד טוב”, אך נמוך יותר טוב לבטיחות. לרוב הפגיעויות יש ניקוד נמוך מאוד (מתחת ל-0.05). אם ניקוד הוא מעל 0.10 (10%), הוא נמצא באחוזון העליון של האיומים ויש לחקור אותו. ניקוד מעל 0.50 הוא מצב חירום.

2. האם EPSS מחליף את CVSS?

לא. CVSS מודד חומרה (השפעה). EPSS מודד הסתברות (איום). אתה צריך את שניהם. באג בעל חומרה נמוכה עם הסתברות גבוהה הוא מעצבן אך ניתן לניהול. באג בעל חומרה גבוהה עם הסתברות גבוהה הוא משבר.

3. באיזו תדירות מתעדכן EPSS?

המודל מאומן מחדש והניקודים מתעדכנים יומיומית על ידי FIRST.org.

4. מדוע הפגיעות הקריטית שלי מראה ניקוד EPSS נמוך?

כי ייתכן שהיא קשה מאוד לניצול. אולי היא דורשת גישה פיזית לשרת, או אולי קוד הניצול מורכב ולא יציב. תוקפים מעדיפים מטרות קלות.

5. האם אני יכול להשתמש ב-EPSS עבור יישומים פנימיים?

EPSS מחושב עבור CVEs (פגיעויות ציבוריות). הוא לא מייצר ניקודים עבור פגיעויות קוד מותאם אישית (כמו באג לוגי ספציפי באפליקציה פרטית שלך) אלא אם כן הבאג הזה ממופה לספריית CVE ידועה.

הצעדים הבאים

מוכן לאבטח את היישומים שלך? בחר את הדרך שלך קדימה.

התחלת ניסיון חינם

נסה את Plexicus ללא סיכון למשך 14 ימים

צפייה בתמחור

תמחור שקוף לצוותים בכל הגדלים

הצטרף לקהילה

הצטרף לקהילה הגלובלית שלנו

קרא את התיעוד

קרא את התיעוד המקיף שלנו

הצטרף ל-500+ חברות שכבר מאבטחות את היישומים שלהן עם Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready