logo
Glosarium EPSS Score (Exploit Prediction Scoring System)

Skor EPSS (Sistem Penilaian Prediksi Eksploitasi)

Singkatnya: Skor EPSS

Sistem Penilaian Prediksi Eksploitasi (EPSS) adalah standar berbasis data yang memperkirakan kemungkinan bahwa kerentanan perangkat lunak tertentu akan dieksploitasi di alam liar.

Proses ini akan membantu Anda:

  • Memprioritaskan apa yang harus diperbaiki terlebih dahulu berdasarkan data ancaman dunia nyata.
  • Mengurangi kelelahan peringatan dengan mengabaikan kerentanan dengan tingkat keparahan tinggi yang sebenarnya tidak ditargetkan oleh penyerang.
  • Mengoptimalkan sumber daya keamanan dengan fokus pada 5% kerentanan yang benar-benar menimbulkan risiko.

Tujuan EPSS adalah untuk memberi tahu Anda seberapa mungkin sebuah kerentanan akan diserang, bukan hanya seberapa merusaknya serangan tersebut.

Apa Itu Skor EPSS

Skor EPSS adalah metrik antara 0 dan 1 (atau 0% hingga 100%) yang mewakili probabilitas bahwa kerentanan tertentu (CVE) akan dieksploitasi dalam 30 hari ke depan.

Ini dikelola oleh Forum Tim Tanggap Insiden dan Keamanan (FIRST), organisasi yang sama yang mengelola CVSS. Sementara CVSS mengukur keparahan kerentanan (seberapa buruknya), EPSS mengukur ancaman (seberapa mungkin itu terjadi).

Dalam istilah sederhana :

CVSS memberi tahu Anda, “Jendela ini rusak, dan itu adalah jendela besar.” EPSS memberi tahu Anda, “Ada pencuri yang berdiri tepat di luar jendela tersebut.”

Mengapa EPSS Penting

Tim keamanan tenggelam dalam peringatan “Kritis”. Pemindaian perusahaan biasa mungkin menunjukkan ribuan kerentanan dengan skor CVSS 9.0 atau lebih tinggi. Tidak mungkin untuk memperbaiki semuanya sekaligus.

Jadi mengapa EPSS penting :

CVSS tidak cukup. Penelitian menunjukkan bahwa kurang dari 5% dari semua CVE yang dipublikasikan pernah dieksploitasi di lapangan. Jika Anda memperbaiki kerentanan hanya berdasarkan tingkat keparahan CVSS, Anda membuang waktu untuk memperbaiki bug yang tidak diserang oleh siapa pun.

Prioritas dunia nyata. EPSS menggunakan intelijen ancaman terkini. Sebuah kerentanan mungkin terlihat berbahaya di atas kertas (CVSS Tinggi), tetapi jika tidak ada kode eksploitasi dan tidak ada penyerang yang menggunakannya, skor EPSS akan rendah.

Efisiensi. Dengan menyaring skor EPSS Tinggi, tim dapat mengurangi backlog remediasi hingga 85% sambil tetap menangani ancaman yang paling berbahaya.

Cara Kerja EPSS

EPSS bukanlah angka statis. Ini adalah model pembelajaran mesin yang diperbarui setiap hari. Ini menganalisis sejumlah besar data untuk menghasilkan skor probabilitas.

1. Pengumpulan Data

Model ini mengambil data dari berbagai sumber:

  • Daftar CVE: Data dari MITRE dan NVD.
  • Kode Eksploitasi: Ketersediaan skrip eksploitasi dalam alat seperti Metasploit atau ExploitDB.
  • Aktivitas Liar: Log dari firewall, IDS, dan honeypot yang menunjukkan serangan aktif.
  • Percakapan Web Gelap: Diskusi di forum peretas.

2. Perhitungan Probabilitas

Model ini menghitung skor dari 0.00 (0%) hingga 1.00 (100%).

  • 0.95 berarti ada kemungkinan 95% bahwa kerentanan ini sedang dieksploitasi saat ini atau akan segera dieksploitasi.
  • 0.01 berarti sangat tidak mungkin untuk dieksploitasi.

3. Aplikasi

Alat keamanan mengambil skor ini untuk menyortir daftar kerentanan. Alih-alih menyortir berdasarkan “Keparahan,” Anda menyortir berdasarkan “Probabilitas Serangan.”

Contoh dalam Praktik

Bayangkan pemindai Anda menemukan dua kerentanan.

Kerentanan A:

  • CVSS: 9.8 (Kritis)
  • EPSS: 0.02 (2%)
  • Konteks: Ini adalah overflow teoretis dalam pustaka yang Anda gunakan, tetapi belum ada yang berhasil memanfaatkannya.

Kerentanan B:

  • CVSS: 7.5 (Tinggi)
  • EPSS: 0.96 (96%)
  • Konteks: Ini adalah kerentanan Log4j atau bypass VPN yang diketahui yang sedang aktif digunakan oleh geng ransomware saat ini.

Tanpa EPSS: Anda mungkin memperbaiki Kerentanan A terlebih dahulu karena 9.8 > 7.5.

Dengan EPSS (menggunakan Plexicus):

  1. Anda menavigasi ke Dashboard Plexicus.
  2. Anda memfilter temuan dengan EPSS > 0.5.
  3. Plexicus segera menyoroti Kerentanan B.
  4. Anda menambal Kerentanan B terlebih dahulu karena ini adalah ancaman langsung. Kerentanan A masuk ke backlog.

Hasil: Anda menghentikan vektor serangan aktif alih-alih menambal bug teoretis.

Siapa yang Menggunakan EPSS

  • Manajer Kerentanan - untuk memutuskan patch mana yang akan diterapkan ke produksi minggu ini.
  • Analis Intelijen Ancaman - untuk memahami lanskap ancaman saat ini.
  • CISO - untuk membenarkan anggaran dan alokasi sumber daya berdasarkan risiko daripada ketakutan.
  • Tim DevSecOps - untuk mengotomatisasi pemutusan build hanya untuk kerentanan yang penting.

Kapan Menerapkan EPSS

EPSS harus digunakan selama fase Triage dan Remediasi dari manajemen kerentanan.

  • Selama Triage - Ketika Anda memiliki 500 bug kritis dan hanya waktu untuk memperbaiki 50.
  • Dalam Kebijakan - Tetapkan aturan seperti “Patch apa pun dengan EPSS > 50% dalam 24 jam.”
  • Dalam Pelaporan - Tunjukkan kepada pimpinan bahwa Anda mengurangi “Risiko yang Dapat Dieksploitasi,” bukan hanya menutup tiket.

Kemampuan Utama Alat EPSS

Alat yang mengintegrasikan EPSS biasanya menyediakan:

  • Skor Ganda: Menampilkan CVSS dan EPSS berdampingan.
  • Prioritas Dinamis: Mengurutkan ulang kerentanan setiap hari saat skor EPSS berubah.
  • Penerimaan Risiko: Menandai kerentanan EPSS rendah sebagai “Terima Risiko” untuk jangka waktu tertentu.
  • Konteks Kaya: Menghubungkan skor dengan keluarga eksploit tertentu (misalnya, “Digunakan oleh Grup Ransomware X”).

Contoh alat: Platform manajemen kerentanan dan Plexicus ASPM,** yang menggunakan EPSS untuk menyaring kebisingan dari pemindaian kode.

Praktik Terbaik untuk EPSS

  • Gabungkan CVSS dan EPSS: Jangan abaikan CVSS. “Cawan Suci” dari prioritas adalah CVSS Tinggi + EPSS Tinggi.
  • Tetapkan Ambang Batas: Definisikan apa yang dimaksud dengan “Tinggi” untuk organisasi Anda. Banyak tim mulai memprioritaskan pada EPSS > 0.1 (10%) karena skor rata-rata sangat rendah.
  • Otomatisasi: Gunakan API untuk menarik skor EPSS ke dalam sistem tiket Anda (Jira).
  • Tinjau Harian: Skor EPSS berubah. Kerentanan dengan skor 0.01 hari ini bisa melonjak menjadi 0.80 besok jika Proof of Concept (PoC) dipublikasikan di Twitter.

Istilah Terkait

FAQ: Skor EPSS

1. Apa itu skor EPSS yang baik?

Tidak ada skor “baik”, tetapi lebih rendah lebih baik untuk keamanan. Sebagian besar kerentanan memiliki skor yang sangat rendah (di bawah 0.05). Jika skor di atas 0.10 (10%), itu berada di persentil teratas ancaman dan harus diselidiki. Skor di atas 0.50 adalah keadaan darurat.

2. Apakah EPSS menggantikan CVSS?

Tidak. CVSS mengukur Keparahan (dampak). EPSS mengukur Probabilitas (ancaman). Anda memerlukan keduanya. Bug dengan keparahan rendah tetapi probabilitas tinggi mengganggu tetapi dapat dikelola. Bug dengan keparahan tinggi dan probabilitas tinggi adalah krisis.

3. Seberapa sering EPSS diperbarui?

Model ini dilatih ulang, dan skor diperbarui setiap hari oleh FIRST.org.

4. Mengapa kerentanan Kritis saya menunjukkan skor EPSS yang rendah?

Karena mungkin sangat sulit untuk dieksploitasi. Mungkin memerlukan akses fisik ke server, atau mungkin kode eksploitasi kompleks dan tidak stabil. Penyerang lebih suka target yang mudah.

5. Dapatkah saya menggunakan EPSS untuk aplikasi internal?

EPSS dihitung untuk CVE (kerentanan publik). Ini tidak menghasilkan skor untuk kerentanan kode khusus (seperti bug logika tertentu dalam aplikasi pribadi Anda) kecuali bug tersebut dipetakan ke perpustakaan CVE yang dikenal.

Langkah Selanjutnya

Siap untuk mengamankan aplikasi Anda? Pilih jalan Anda ke depan.

Mulai Uji Coba Gratis

Coba Plexicus tanpa risiko selama 14 hari

Lihat Harga

Harga transparan untuk tim dari semua ukuran

Bergabung dengan Komunitas

Bergabung dengan Komunitas Global kami

Baca Dokumentasi

Baca Dokumentasi Komprehensif kami

Bergabunglah dengan 500+ perusahaan yang sudah mengamankan aplikasi mereka dengan Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready