EPSS Score (Exploit Prediction Scoring System)

TL;DR: EPSS Score

Exploit Prediction Scoring System (EPSS) er en datadrevet standard som estimerer sannsynligheten for at en spesifikk programvaresårbarhet vil bli utnyttet i det fri.

Denne prosessen vil hjelpe deg med å:

• Prioritere hva som skal fikses først basert på trusseldata fra virkeligheten.
• Redusere varslingsutmattelse ved å ignorere sårbarheter med høy alvorlighetsgrad som angripere faktisk ikke retter seg mot.
• Optimalisere sikkerhetsressurser ved å fokusere på de 5% av sårbarhetene som utgjør en reell risiko.

Målet med EPSS er å fortelle deg hvor sannsynlig det er at en sårbarhet blir angrepet, ikke bare hvor skadelig angrepet ville være.

Hva er EPSS Score

EPSS Score er en metrikk mellom 0 og 1 (eller 0% til 100%) som representerer sannsynligheten for at en spesifikk sårbarhet (CVE) vil bli utnyttet innen de neste 30 dagene.

Den administreres av Forum of Incident Response and Security Teams (FIRST), den samme organisasjonen som administrerer CVSS. Mens CVSS måler alvorligheten av en sårbarhet (hvor ille den er), måler EPSS trusselen (hvor sannsynlig det er at det skjer).

Enkelt sagt:

CVSS forteller deg, “Dette vinduet er knust, og det er et stort vindu.” EPSS forteller deg, “Det står en innbruddstyv rett utenfor det spesifikke vinduet.”

Hvorfor EPSS er viktig

Sikkerhetsteam drukner i “Kritiske” varsler. En typisk bedriftsskanning kan vise tusenvis av sårbarheter med en CVSS-score på 9,0 eller høyere. Det er umulig å fikse dem alle umiddelbart.

Så hvorfor er EPSS viktig:

CVSS er ikke nok. Forskning viser at mindre enn 5% av alle publiserte CVE-er noen gang blir utnyttet i det fri. Hvis du fikser sårbarheter basert kun på CVSS-severitet, kaster du bort tid på å fikse feil som ingen angriper.

Prioritering i den virkelige verden. EPSS bruker aktuell trusselinformasjon. En sårbarhet kan se farlig ut på papiret (Høy CVSS), men hvis det ikke finnes noen utnyttelseskode og ingen angripere bruker den, vil EPSS-poengsummen være lav.

Effektivitet. Ved å filtrere for høye EPSS-poengsummer kan team redusere sin utbedringsetterslep med opptil 85% samtidig som de adresserer de farligste truslene.

Hvordan EPSS fungerer

EPSS er ikke et statisk tall. Det er en maskinlæringsmodell som oppdateres daglig. Den analyserer enorme mengder data for å generere en sannsynlighetspoengsum.

1. Datainnsamling

Modellen henter data fra flere kilder:

• CVE-lister: MITRE og NVD-data.
• Utnyttelseskode: Tilgjengelighet av utnyttelsesskript i verktøy som Metasploit eller ExploitDB.
• Aktivitet i det fri: Logger fra brannmurer, IDS-er og honeypots som viser aktive angrep.
• Mørk web-prat: Diskusjoner på hackerfora.

2. Sannsynlighetsberegning

Modellen beregner en poengsum fra 0,00 (0%) til 1,00 (100%).

• 0,95 betyr at det er 95% sjanse for at denne sårbarheten blir utnyttet akkurat nå eller vil bli det snart.
• 0,01 betyr at det er svært usannsynlig å bli utnyttet.

3. Anvendelse

Sikkerhetsverktøy bruker denne poengsummen for å sortere sårbarhetslister. I stedet for å sortere etter “Alvorlighetsgrad,” sorterer du etter “Sannsynlighet for angrep.”

Eksempel i praksis

Tenk deg at skanneren din finner to sårbarheter.

Sårbarhet A:

• CVSS: 9.8 (Kritisk)
• EPSS: 0.02 (2%)
• Kontekst: Det er en teoretisk overflow i et bibliotek du bruker, men ingen har funnet ut hvordan man kan utnytte det ennå.

Sårbarhet B:

• CVSS: 7.5 (Høy)
• EPSS: 0.96 (96%)
• Kontekst: Dette er Log4j-sårbarheten eller en kjent VPN-omgåelse som løsepengevirusgrupper aktivt bruker i dag.

Uten EPSS: Du kan fikse Sårbarhet A først fordi 9.8 > 7.5.

Med EPSS (ved bruk av Plexicus):

1. Du navigerer til Plexicus Dashboard.
2. Du filtrerer funn etter EPSS > 0.5.
3. Plexicus fremhever Sårbarhet B umiddelbart.
4. Du lapper Sårbarhet B først fordi det er en umiddelbar trussel. Sårbarhet A går inn i backloggen.

Resultat: Du stoppet en aktiv angrepsvektor i stedet for å lappe en teoretisk feil.

Hvem bruker EPSS

• Sårbarhetsansvarlige - for å bestemme hvilke oppdateringer som skal pushes til produksjon denne uken.
• Trusselintelligensanalytikere - for å forstå det nåværende trussellandskapet.
• CISOer - for å rettferdiggjøre budsjett og ressursallokering basert på risiko i stedet for frykt.
• DevSecOps-team - for å automatisere brudd på bygg kun for sårbarheter som betyr noe.

Når man skal bruke EPSS

EPSS bør brukes under Triage og Utbedring-fasen av sårbarhetsstyring.

• Under Triage - Når du har 500 kritiske feil og bare tid til å fikse 50.
• I Policy - Sett regler som “Patch alt med EPSS > 50% innen 24 timer.”
• I Rapportering - Vis ledelsen at du reduserer “Utnyttbar Risiko,” ikke bare lukker billetter.

Nøkkelfunksjoner i EPSS-verktøy

Verktøy som integrerer EPSS gir vanligvis:

• Dobbel Skåring: Viser CVSS og EPSS side om side.
• Dynamisk Prioritering: Omprioritering av sårbarheter daglig ettersom EPSS-skårer endres.
• Risikogodkjenning: Trygt merke lav-EPSS sårbarheter som “Godta Risiko” for en bestemt periode.
• Rik Kontekst: Kobler skåren til de spesifikke utnyttelsesfamiliene (f.eks. “Brukt av Ransomware Group X”).

Eksempelverktøy: Sårbarhetsstyringsplattformer og Plexicus ASPM,** som bruker EPSS for å filtrere ut støy fra kodegjennomganger.

Beste Praksis for EPSS

• Kombiner CVSS og EPSS: Ikke ignorer CVSS. Den “Hellige Gral” av prioritering er Høy CVSS + Høy EPSS.
• Sett Terskler: Definer hva “Høy” betyr for din organisasjon. Mange team begynner å prioritere ved EPSS > 0.1 (10%) fordi gjennomsnittsskåren er veldig lav.
• Automatiser: Bruk APIer for å hente EPSS-skårer inn i ditt billettsystem (Jira).
• Gjennomgå Daglig: EPSS-skårer endres. En sårbarhet med en 0.01 skår i dag kan hoppe til 0.80 i morgen hvis et Proof of Concept (PoC) publiseres på Twitter.

Relaterte Termer

• CVSS (Common Vulnerability Scoring System)
• Sårbarhetsstyring
• CVE (Common Vulnerabilities and Exposures)
• Zero-Day Exploit