EPSS Score (Exploit Prediction Scoring System)
TL;DR: EPSS Score
Il Sistema di Punteggio di Predizione dello Sfruttamento (EPSS) è uno standard basato sui dati che stima la probabilità che una specifica vulnerabilità software venga sfruttata in natura.
Questo processo ti aiuterà a:
- Dare priorità a cosa correggere per primo basandoti su dati di minacce reali.
- Ridurre l’affaticamento da allerta ignorando le vulnerabilità ad alta gravità che gli attaccanti non stanno effettivamente prendendo di mira.
- Ottimizzare le risorse di sicurezza concentrandoti sul 5% delle vulnerabilità che rappresentano un vero rischio.
L’obiettivo dell’EPSS è dirti quanto è probabile che una vulnerabilità venga attaccata, non solo quanto sarebbe dannoso l’attacco.
Cos’è il Punteggio EPSS
Il Punteggio EPSS è una metrica compresa tra 0 e 1 (o dallo 0% al 100%) che rappresenta la probabilità che una specifica vulnerabilità (CVE) venga sfruttata nei prossimi 30 giorni.
È gestito dal Forum dei Team di Risposta agli Incidenti e Sicurezza (FIRST), la stessa organizzazione che gestisce il CVSS. Mentre il CVSS misura la gravità di una vulnerabilità (quanto è grave), l’EPSS misura la minaccia (quanto è probabile che accada).
In termini semplici:
Il CVSS ti dice, “Questa finestra è rotta, ed è una grande finestra.” L’EPSS ti dice, “C’è un ladro proprio fuori da quella specifica finestra.”
Perché l’EPSS è Importante
I team di sicurezza sono sommersi da allerta “Critiche”. Una scansione tipica di un’azienda potrebbe mostrare migliaia di vulnerabilità con un punteggio CVSS di 9.0 o superiore. È impossibile correggerle tutte immediatamente.
Quindi perché l’EPSS è importante:
CVSS non è sufficiente. La ricerca mostra che meno del 5% di tutti i CVE pubblicati vengono mai sfruttati in natura. Se correggi le vulnerabilità basandoti solo sulla gravità CVSS, stai sprecando tempo a correggere bug che nessuno sta attaccando.
Prioritizzazione nel mondo reale. EPSS utilizza l’intelligence sulle minacce attuale. Una vulnerabilità potrebbe sembrare pericolosa sulla carta (CVSS alto), ma se non esiste codice di exploit e nessun attaccante la sta utilizzando, il punteggio EPSS sarà basso.
Efficienza. Filtrando per punteggi EPSS alti, i team possono ridurre il loro arretrato di rimedi fino all’85% affrontando comunque le minacce più pericolose.
Come Funziona EPSS
EPSS non è un numero statico. È un modello di apprendimento automatico che si aggiorna quotidianamente. Analizza enormi quantità di dati per generare un punteggio di probabilità.
1. Raccolta Dati
Il modello acquisisce dati da più fonti:
- Liste CVE: Dati di MITRE e NVD.
- Codice di Exploit: Disponibilità di script di exploit in strumenti come Metasploit o ExploitDB.
- Attività in Natura: Log da firewall, IDS e honeypot che mostrano attacchi attivi.
- Discussioni sul Dark Web: Discussioni su forum di hacker.
2. Calcolo della Probabilità
Il modello calcola un punteggio da 0,00 (0%) a 1,00 (100%).
- 0,95 significa che c’è una probabilità del 95% che questa vulnerabilità venga sfruttata ora o lo sarà presto.
- 0,01 significa che è altamente improbabile che venga sfruttata.
3. Applicazione
Gli strumenti di sicurezza utilizzano questo punteggio per ordinare le liste di vulnerabilità. Invece di ordinare per “Gravità”, si ordina per “Probabilità di Attacco”.
Esempio in Pratica
Immagina che il tuo scanner trovi due vulnerabilità.
Vulnerabilità A:
- CVSS: 9.8 (Critico)
- EPSS: 0.02 (2%)
- Contesto: È un overflow teorico in una libreria che usi, ma nessuno ha ancora capito come sfruttarlo.
Vulnerabilità B:
- CVSS: 7.5 (Alto)
- EPSS: 0.96 (96%)
- Contesto: Questa è la vulnerabilità Log4j o un noto bypass VPN che le bande di ransomware stanno attivamente utilizzando oggi.
Senza EPSS: Potresti correggere prima la Vulnerabilità A perché 9.8 > 7.5.
Con EPSS (usando Plexicus):
- Navighi al Plexicus Dashboard.
- Filtri i risultati per EPSS > 0.5.
- Plexicus evidenzia immediatamente la Vulnerabilità B.
- Correggi prima la Vulnerabilità B perché è una minaccia immediata. La Vulnerabilità A va nel backlog.
Risultato: Hai fermato un vettore di attacco attivo invece di correggere un bug teorico.
Chi Usa EPSS
- Manager delle Vulnerabilità - per decidere quali patch implementare in produzione questa settimana.
- Analisti di Intelligence sulle Minacce - per comprendere il panorama delle minacce attuale.
- CISO - per giustificare il budget e l’allocazione delle risorse basandosi sul rischio piuttosto che sulla paura.
- Team DevSecOps - per automatizzare la rottura delle build solo per le vulnerabilità che contano.
Quando Applicare EPSS
EPSS dovrebbe essere utilizzato durante la fase di Triaging e Remediation della gestione delle vulnerabilità.
- Durante il Triage - Quando hai 500 bug critici e solo il tempo per risolverne 50.
- Nella Politica - Imposta regole come “Correggi qualsiasi cosa con EPSS > 50% entro 24 ore.”
- Nel Reporting - Mostra alla leadership che stai riducendo il “Rischio Sfruttabile,” non solo chiudendo ticket.
Capacità Chiave degli Strumenti EPSS
Gli strumenti che integrano EPSS tipicamente forniscono:
- Doppio Punteggio: Visualizzazione di CVSS ed EPSS affiancati.
- Prioritizzazione Dinamica: Riorganizzazione delle vulnerabilità quotidianamente man mano che i punteggi EPSS cambiano.
- Accettazione del Rischio: Marcatura sicura delle vulnerabilità a basso EPSS come “Accetta Rischio” per un periodo stabilito.
- Contesto Ricco: Collegamento del punteggio alle specifiche famiglie di exploit (ad es., “Usato dal Gruppo Ransomware X”).
Esempi di strumenti: piattaforme di gestione delle vulnerabilità e Plexicus ASPM, che utilizza EPSS per filtrare il rumore dalle scansioni del codice.
Migliori Pratiche per EPSS
- Combina CVSS ed EPSS: Non ignorare CVSS. Il “Sacro Graal” della prioritizzazione è Alto CVSS + Alto EPSS.
- Imposta Soglie: Definisci cosa significa “Alto” per la tua organizzazione. Molti team iniziano a dare priorità a EPSS > 0,1 (10%) perché il punteggio medio è molto basso.
- Automatizza: Usa API per importare i punteggi EPSS nel tuo sistema di ticketing (Jira).
- Rivedi Quotidianamente: I punteggi EPSS cambiano. Una vulnerabilità con un punteggio di 0,01 oggi potrebbe salire a 0,80 domani se un Proof of Concept (PoC) viene pubblicato su Twitter.
Termini Correlati
- CVSS (Common Vulnerability Scoring System)
- Gestione delle Vulnerabilità
- CVE (Common Vulnerabilities and Exposures)
- Exploit Zero-Day
FAQ: Punteggio EPSS
1. Qual è un buon punteggio EPSS?
Non esiste un punteggio “buono”, ma più basso è meglio per la sicurezza. La maggior parte delle vulnerabilità ha punteggi molto bassi (sotto 0,05). Se un punteggio è superiore a 0,10 (10%), è nel percentile più alto delle minacce e dovrebbe essere esaminato. Un punteggio superiore a 0,50 è un’emergenza.
2. L’EPSS sostituisce il CVSS?
No. Il CVSS misura la Gravità (impatto). L’EPSS misura la Probabilità (minaccia). Hai bisogno di entrambi. Un bug a bassa gravità con alta probabilità è fastidioso ma gestibile. Un bug ad alta gravità con alta probabilità è una crisi.
3. Con quale frequenza viene aggiornato l’EPSS?
Il modello viene ricalibrato e i punteggi vengono aggiornati quotidianamente da FIRST.org.
4. Perché la mia vulnerabilità critica mostra un punteggio EPSS basso?
Perché potrebbe essere molto difficile da sfruttare. Forse richiede l’accesso fisico al server, o forse il codice exploit è complesso e instabile. Gli aggressori preferiscono obiettivi facili.
5. Posso usare l’EPSS per applicazioni interne?
L’EPSS è calcolato per CVE (vulnerabilità pubbliche). Non genera punteggi per vulnerabilità di codice personalizzato (come un bug logico specifico nella tua app privata) a meno che quel bug non sia mappato a una libreria CVE conosciuta.