EPSS Score (Exploit Prediction Scoring System)

TL;DR: EPSS Score

Het Exploit Prediction Scoring System (EPSS) is een data-gedreven standaard die de waarschijnlijkheid schat dat een specifieke softwarekwetsbaarheid in de praktijk zal worden uitgebuit.

Dit proces zal u helpen:

• Prioriteiten stellen wat eerst moet worden opgelost op basis van dreigingsgegevens uit de echte wereld.
• Verminderen van alarmmoeheid door hoge ernst kwetsbaarheden te negeren die aanvallers eigenlijk niet targeten.
• Optimaliseren van beveiligingsmiddelen door te focussen op de 5% van kwetsbaarheden die een echt risico vormen.

Het doel van EPSS is om u te vertellen hoe waarschijnlijk het is dat een kwetsbaarheid wordt aangevallen, niet alleen hoe schadelijk de aanval zou zijn.

Wat is de EPSS Score

De EPSS Score is een metriek tussen 0 en 1 (of 0% tot 100%) die de waarschijnlijkheid vertegenwoordigt dat een specifieke kwetsbaarheid (CVE) binnen de komende 30 dagen zal worden uitgebuit.

Het wordt beheerd door het Forum of Incident Response and Security Teams (FIRST), dezelfde organisatie die CVSS beheert. Terwijl CVSS de ernst van een kwetsbaarheid meet (hoe erg het is), meet EPSS de dreiging (hoe waarschijnlijk het is dat het gebeurt).

In eenvoudige termen :

CVSS vertelt u, “Dit raam is kapot, en het is een groot raam.” EPSS vertelt u, “Er staat een inbreker precies buiten dat specifieke raam.”

Waarom EPSS belangrijk is

Beveiligingsteams verdrinken in “Kritieke” waarschuwingen. Een typische ondernemingsscan kan duizenden kwetsbaarheden tonen met een CVSS-score van 9.0 of hoger. Het is onmogelijk om ze allemaal onmiddellijk te verhelpen.

Dus waarom is EPSS belangrijk :

CVSS is niet genoeg. Onderzoek toont aan dat minder dan 5% van alle gepubliceerde CVE’s ooit in de praktijk worden uitgebuit. Als je kwetsbaarheden alleen op basis van CVSS-ernst oplost, verspil je tijd aan het verhelpen van bugs die niemand aanvalt.

Prioritering in de echte wereld. EPSS maakt gebruik van actuele dreigingsinformatie. Een kwetsbaarheid kan op papier gevaarlijk lijken (Hoge CVSS), maar als er geen exploitcode bestaat en geen aanvallers deze gebruiken, zal de EPSS-score laag zijn.

Efficiëntie. Door te filteren op hoge EPSS-scores kunnen teams hun herstelachterstand met maximaal 85% verminderen, terwijl ze nog steeds de gevaarlijkste bedreigingen aanpakken.

Hoe EPSS Werkt

EPSS is geen statisch getal. Het is een machine learning-model dat dagelijks wordt bijgewerkt. Het analyseert enorme hoeveelheden data om een waarschijnlijkheidsscore te genereren.

1. Gegevensverzameling

Het model verzamelt gegevens uit meerdere bronnen:

• CVE-lijsten: MITRE en NVD-gegevens.
• Exploitcode: Beschikbaarheid van exploitscripts in tools zoals Metasploit of ExploitDB.
• Activiteit in de praktijk: Logs van firewalls, IDS’s en honeypots die actieve aanvallen tonen.
• Dark web-gesprekken: Discussies op hackersforums.

2. Waarschijnlijkheidsberekening

Het model berekent een score van 0,00 (0%) tot 1,00 (100%).

• 0,95 betekent dat er een kans van 95% is dat deze kwetsbaarheid momenteel wordt uitgebuit of binnenkort zal worden.
• 0,01 betekent dat het zeer onwaarschijnlijk is dat het wordt uitgebuit.

3. Toepassing

Beveiligingstools gebruiken deze score om kwetsbaarheidslijsten te sorteren. In plaats van te sorteren op “Ernst”, sorteer je op “Waarschijnlijkheid van Aanval”.

Voorbeeld in de Praktijk

Stel je voor dat je scanner twee kwetsbaarheden vindt.

Kwetsbaarheid A:

• CVSS: 9.8 (Kritiek)
• EPSS: 0.02 (2%)
• Context: Het is een theoretische overflow in een bibliotheek die je gebruikt, maar niemand heeft nog ontdekt hoe deze te wapenen.

Kwetsbaarheid B:

• CVSS: 7.5 (Hoog)
• EPSS: 0.96 (96%)
• Context: Dit is de Log4j-kwetsbaarheid of een bekende VPN-bypass die ransomwarebendes vandaag de dag actief gebruiken.

Zonder EPSS: Je zou Kwetsbaarheid A eerst kunnen oplossen omdat 9.8 > 7.5.

Met EPSS (gebruikmakend van Plexicus):

1. Je navigeert naar het Plexicus Dashboard.
2. Je filtert bevindingen op EPSS > 0.5.
3. Plexicus markeert onmiddellijk Kwetsbaarheid B.
4. Je verhelpt eerst Kwetsbaarheid B omdat het een onmiddellijke dreiging is. Kwetsbaarheid A gaat naar de backlog.

Resultaat: Je stopt een actieve aanvalsvector in plaats van een theoretische bug te patchen.

Wie Gebruikt EPSS

• Kwetsbaarheidsmanagers - om te beslissen welke patches deze week naar productie moeten worden gepusht.
• Threat Intelligence Analisten - om het huidige dreigingslandschap te begrijpen.
• CISO’s - om budget en middelen toe te wijzen op basis van risico in plaats van angst.
• DevSecOps Teams - om het breken van builds alleen te automatiseren voor kwetsbaarheden die ertoe doen.

Wanneer EPSS Toepassen

EPSS moet worden gebruikt tijdens de Triage en Remediatie fase van kwetsbaarheidsbeheer.

• Tijdens Triage - Wanneer je 500 kritieke bugs hebt en slechts tijd om er 50 te repareren.
• In Beleid - Stel regels in zoals “Patch alles met EPSS > 50% binnen 24 uur.”
• In Rapportage - Toon leiderschap dat je “Exploitable Risk” vermindert, niet alleen tickets sluit.

Belangrijke Capaciteiten van EPSS Tools

Tools die EPSS integreren bieden doorgaans:

• Dubbele Scoring: Weergave van CVSS en EPSS naast elkaar.
• Dynamische Prioritering: Dagelijks herindelen van kwetsbaarheden naarmate EPSS scores veranderen.
• Risicoacceptatie: Veilig markeren van laag-EPSS kwetsbaarheden als “Risico Accepteren” voor een bepaalde periode.
• Rijke Context: Koppeling van de score aan specifieke exploitfamilies (bijv. “Gebruikt door Ransomware Groep X”).

Voorbeeldtools: Vulnerability management platforms en Plexicus ASPM,** die EPSS gebruikt om ruis van code scans te filteren.

Beste Praktijken voor EPSS

• Combineer CVSS en EPSS: Negeer CVSS niet. De “Heilige Graal” van prioritering is Hoge CVSS + Hoge EPSS.
• Stel Drempels in: Definieer wat “Hoog” betekent voor jouw organisatie. Veel teams beginnen te prioriteren bij EPSS > 0.1 (10%) omdat de gemiddelde score erg laag is.
• Automatiseer: Gebruik API’s om EPSS scores in je ticketsysteem (Jira) te halen.
• Dagelijks Reviewen: EPSS scores veranderen. Een kwetsbaarheid met een score van 0.01 vandaag kan morgen naar 0.80 springen als een Proof of Concept (PoC) op Twitter wordt gepubliceerd.

Gerelateerde Termen

• CVSS (Common Vulnerability Scoring System)
• Vulnerability Management
• CVE (Common Vulnerabilities and Exposures)
• Zero-Day Exploit