EPSS Score (Exploit Prediction Scoring System)

TL;DR: EPSS Score

Exploit Prediction Scoring System (EPSS) to standard oparty na danych, który szacuje prawdopodobieństwo, że konkretna luka w oprogramowaniu zostanie wykorzystana w środowisku naturalnym.

Ten proces pomoże Ci:

• Priorytetyzować, co naprawić najpierw na podstawie danych o rzeczywistych zagrożeniach.
• Zmniejszyć zmęczenie alarmami poprzez ignorowanie luk o wysokiej surowości, które nie są faktycznie celem atakujących.
• Optymalizować zasoby bezpieczeństwa koncentrując się na 5% luk, które stanowią prawdziwe ryzyko.

Celem EPSS jest poinformowanie Cię jak prawdopodobne jest, że luka zostanie zaatakowana, a nie tylko jak szkodliwy byłby atak.

Co to jest EPSS Score

EPSS Score to metryka między 0 a 1 (lub 0% do 100%), która reprezentuje prawdopodobieństwo, że konkretna luka (CVE) zostanie wykorzystana w ciągu najbliższych 30 dni.

Jest zarządzany przez Forum Zespołów Reagowania na Incydenty i Bezpieczeństwo (FIRST), tę samą organizację, która zarządza CVSS. Podczas gdy CVSS mierzy surowość luki (jak bardzo jest zła), EPSS mierzy zagrożenie (jak prawdopodobne jest, że się wydarzy).

W prostych słowach:

CVSS mówi Ci, „To okno jest zepsute i jest duże.” EPSS mówi Ci, „Przed tym konkretnym oknem stoi włamywacz.”

Dlaczego EPSS ma znaczenie

Zespoły ds. bezpieczeństwa toną w alertach „Krytycznych”. Typowe skanowanie w przedsiębiorstwie może wykazać tysiące luk z wynikiem CVSS 9.0 lub wyższym. Nie jest możliwe natychmiastowe naprawienie ich wszystkich.

Dlaczego więc EPSS jest ważny:

CVSS to za mało. Badania pokazują, że mniej niż 5% wszystkich opublikowanych CVE jest kiedykolwiek wykorzystywanych w rzeczywistości. Jeśli naprawiasz podatności wyłącznie na podstawie powagi CVSS, tracisz czas na naprawianie błędów, które nikt nie atakuje.

Priorytetyzacja w rzeczywistym świecie. EPSS wykorzystuje aktualne informacje o zagrożeniach. Podatność może wyglądać na niebezpieczną na papierze (wysoki CVSS), ale jeśli nie istnieje kod exploita i nikt jej nie używa, wynik EPSS będzie niski.

Efektywność. Filtrując wysokie wyniki EPSS, zespoły mogą zmniejszyć zaległości w remediacji nawet o 85%, jednocześnie zajmując się najgroźniejszymi zagrożeniami.

Jak działa EPSS

EPSS nie jest statyczną liczbą. To model uczenia maszynowego, który aktualizuje się codziennie. Analizuje ogromne ilości danych, aby wygenerować wynik prawdopodobieństwa.

1. Zbieranie danych

Model pobiera dane z wielu źródeł:

• Listy CVE: Dane MITRE i NVD.
• Kod exploita: Dostępność skryptów exploita w narzędziach takich jak Metasploit czy ExploitDB.
• Aktywność w rzeczywistości: Logi z zapór ogniowych, IDS i honeypotów pokazujące aktywne ataki.
• Rozmowy w Dark Web: Dyskusje na forach hakerskich.

2. Obliczanie prawdopodobieństwa

Model oblicza wynik od 0,00 (0%) do 1,00 (100%).

• 0,95 oznacza, że istnieje 95% szans, że ta podatność jest obecnie wykorzystywana lub wkrótce będzie.
• 0,01 oznacza, że jest mało prawdopodobne, aby została wykorzystana.

3. Zastosowanie

Narzędzia bezpieczeństwa pobierają ten wynik, aby sortować listy podatności. Zamiast sortować według „Powagi”, sortujesz według „Prawdopodobieństwa Ataku”.

Przykład w praktyce

Wyobraź sobie, że twój skaner znajduje dwie luki w zabezpieczeniach.

Luka A:

• CVSS: 9.8 (Krytyczna)
• EPSS: 0.02 (2%)
• Kontekst: Jest to teoretyczny przepełnienie w bibliotece, której używasz, ale nikt jeszcze nie wymyślił, jak to wykorzystać.

Luka B:

• CVSS: 7.5 (Wysoka)
• EPSS: 0.96 (96%)
• Kontekst: Jest to luka Log4j lub znane obejście VPN, które gangi ransomware aktywnie wykorzystują dzisiaj.

Bez EPSS: Możesz najpierw naprawić Lukę A, ponieważ 9.8 > 7.5.

Z EPSS (używając Plexicus):

1. Przechodzisz do Plexicus Dashboard.
2. Filtrujesz wyniki według EPSS > 0.5.
3. Plexicus natychmiast wyróżnia Lukę B.
4. Najpierw łatasz Lukę B, ponieważ jest to bezpośrednie zagrożenie. Luka A trafia do backlogu.

Rezultat: Zatrzymałeś aktywny wektor ataku zamiast łatać teoretyczny błąd.

Kto używa EPSS

• Menedżerowie ds. Luk w Zabezpieczeniach - aby zdecydować, które poprawki wdrożyć do produkcji w tym tygodniu.
• Analitycy Wywiadu Zagrożeń - aby zrozumieć obecny krajobraz zagrożeń.
• CISO - aby uzasadnić budżet i alokację zasobów na podstawie ryzyka, a nie strachu.
• Zespoły DevSecOps - aby automatyzować przerywanie kompilacji tylko dla luk, które mają znaczenie.

Kiedy stosować EPSS

EPSS powinien być używany podczas fazy Triagowania i Naprawy w zarządzaniu lukami w zabezpieczeniach.

• Podczas triage’u - Kiedy masz 500 krytycznych błędów i tylko czas na naprawę 50.
• W polityce - Ustal zasady, takie jak „Napraw wszystko z EPSS > 50% w ciągu 24 godzin.”
• W raportowaniu - Pokaż kierownictwu, że zmniejszasz „Ryzyko Eksploatacyjne”, a nie tylko zamykasz zgłoszenia.

Kluczowe możliwości narzędzi EPSS

Narzędzia integrujące EPSS zazwyczaj oferują:

• Podwójne ocenianie: Wyświetlanie CVSS i EPSS obok siebie.
• Dynamiczne priorytetyzowanie: Codzienne przerejestrowywanie podatności w miarę zmiany ocen EPSS.
• Akceptacja ryzyka: Bezpieczne oznaczanie podatności o niskim EPSS jako „Akceptuj ryzyko” na określony czas.
• Bogaty kontekst: Łączenie oceny z konkretnymi rodzinami exploitów (np. „Używane przez grupę ransomware X”).

Przykładowe narzędzia: Platformy zarządzania podatnościami i Plexicus ASPM, które wykorzystuje EPSS do filtrowania szumów z analiz kodu.

Najlepsze praktyki dla EPSS

• Łącz CVSS i EPSS: Nie ignoruj CVSS. „Święty Graal” priorytetyzacji to Wysoki CVSS + Wysoki EPSS.
• Ustal progi: Zdefiniuj, co oznacza „Wysoki” dla Twojej organizacji. Wiele zespołów zaczyna priorytetyzować przy EPSS > 0.1 (10%), ponieważ średnia ocena jest bardzo niska.
• Automatyzuj: Używaj API do pobierania ocen EPSS do swojego systemu zgłoszeń (Jira).
• Przeglądaj codziennie: Oceny EPSS się zmieniają. Podatność z oceną 0.01 dzisiaj może skoczyć do 0.80 jutro, jeśli Proof of Concept (PoC) zostanie opublikowany na Twitterze.

Powiązane terminy

• CVSS (Common Vulnerability Scoring System)
• Zarządzanie podatnościami
• CVE (Common Vulnerabilities and Exposures)
• Zero-Day Exploit