logo
Glossário EPSS Score (Exploit Prediction Scoring System)

Pontuação EPSS (Sistema de Pontuação de Previsão de Exploração)

Resumo: Pontuação EPSS

O Sistema de Pontuação de Previsão de Exploração (EPSS) é um padrão baseado em dados que estima a probabilidade de que uma vulnerabilidade específica de software seja explorada em campo.

Este processo ajudará você a:

  • Priorizar o que corrigir primeiro com base em dados de ameaças do mundo real.
  • Reduzir a fadiga de alertas ignorando vulnerabilidades de alta gravidade que os atacantes não estão realmente direcionando.
  • Otimizar recursos de segurança concentrando-se nos 5% de vulnerabilidades que representam um risco real.

O objetivo do EPSS é informar quão provável é que uma vulnerabilidade seja atacada, não apenas o quão danoso seria o ataque.

O que é a Pontuação EPSS

A Pontuação EPSS é uma métrica entre 0 e 1 (ou 0% a 100%) que representa a probabilidade de que uma vulnerabilidade específica (CVE) seja explorada nos próximos 30 dias.

É gerida pelo Fórum de Equipes de Resposta a Incidentes e Segurança (FIRST), a mesma organização que gerencia o CVSS. Enquanto o CVSS mede a gravidade de uma vulnerabilidade (quão ruim ela é), o EPSS mede a ameaça (quão provável é que aconteça).

Em termos simples:

O CVSS diz: “Esta janela está quebrada, e é uma janela grande.” O EPSS diz: “Há um ladrão parado bem do lado de fora dessa janela específica.”

Por que o EPSS é importante

As equipes de segurança estão afogadas em alertas “Críticos”. Uma varredura típica de uma empresa pode mostrar milhares de vulnerabilidades com uma pontuação CVSS de 9.0 ou superior. É impossível corrigi-las todas imediatamente.

Então, por que o EPSS é importante:

CVSS não é suficiente. Pesquisas mostram que menos de 5% de todas as CVEs publicadas são exploradas em campo. Se você corrige vulnerabilidades com base apenas na severidade do CVSS, está perdendo tempo corrigindo falhas que ninguém está atacando.

Priorização no mundo real. O EPSS usa inteligência de ameaças atual. Uma vulnerabilidade pode parecer perigosa no papel (CVSS Alto), mas se não existir código de exploração e nenhum atacante estiver usando-a, a pontuação EPSS será baixa.

Eficiência. Ao filtrar por pontuações EPSS Altas, as equipes podem reduzir seu backlog de remediação em até 85% enquanto ainda abordam as ameaças mais perigosas.

Como o EPSS Funciona

O EPSS não é um número estático. É um modelo de aprendizado de máquina que atualiza diariamente. Ele analisa grandes quantidades de dados para gerar uma pontuação de probabilidade.

1. Coleta de Dados

O modelo ingere dados de várias fontes:

  • Listas de CVE: Dados do MITRE e NVD.
  • Código de Exploração: Disponibilidade de scripts de exploração em ferramentas como Metasploit ou ExploitDB.
  • Atividade em Campo: Logs de firewalls, IDSs e honeypots mostrando ataques ativos.
  • Conversas na Dark Web: Discussões em fóruns de hackers.

2. Cálculo de Probabilidade

O modelo calcula uma pontuação de 0,00 (0%) a 1,00 (100%).

  • 0,95 significa que há 95% de chance de essa vulnerabilidade estar sendo explorada agora ou em breve.
  • 0,01 significa que é altamente improvável que seja explorada.

3. Aplicação

Ferramentas de segurança ingerem essa pontuação para classificar listas de vulnerabilidades. Em vez de classificar por “Severidade”, você classifica por “Probabilidade de Ataque.”

Exemplo na Prática

Imagine que seu scanner encontra duas vulnerabilidades.

Vulnerabilidade A:

  • CVSS: 9.8 (Crítico)
  • EPSS: 0.02 (2%)
  • Contexto: É um overflow teórico em uma biblioteca que você usa, mas ninguém descobriu como transformá-lo em arma ainda.

Vulnerabilidade B:

  • CVSS: 7.5 (Alto)
  • EPSS: 0.96 (96%)
  • Contexto: Esta é a vulnerabilidade do Log4j ou uma conhecida falha de VPN que gangues de ransomware estão usando ativamente hoje.

Sem EPSS: Você pode corrigir a Vulnerabilidade A primeiro porque 9.8 > 7.5.

Com EPSS (usando Plexicus):

  1. Você navega até o Painel do Plexicus.
  2. Você filtra os achados por EPSS > 0.5.
  3. Plexicus destaca imediatamente a Vulnerabilidade B.
  4. Você corrige a Vulnerabilidade B primeiro porque é uma ameaça imediata. A Vulnerabilidade A vai para o backlog.

Resultado: Você interrompeu um vetor de ataque ativo em vez de corrigir um bug teórico.

Quem Usa EPSS

  • Gerentes de Vulnerabilidade - para decidir quais patches aplicar na produção esta semana.
  • Analistas de Inteligência de Ameaças - para entender o cenário atual de ameaças.
  • CISOs - para justificar orçamento e alocação de recursos com base no risco em vez do medo.
  • Equipes DevSecOps - para automatizar a interrupção de builds apenas para vulnerabilidades que importam.

Quando Aplicar EPSS

EPSS deve ser usado durante a fase de Triagem e Remediação do gerenciamento de vulnerabilidades.

  • Durante a Triagem - Quando você tem 500 bugs críticos e apenas tempo para corrigir 50.
  • Na Política - Defina regras como “Corrigir qualquer coisa com EPSS > 50% dentro de 24 horas.”
  • No Relatório - Mostre à liderança que você está reduzindo o “Risco Explorável,” não apenas fechando tickets.

Capacidades Principais das Ferramentas EPSS

Ferramentas que integram EPSS geralmente fornecem:

  • Pontuação Dupla: Exibindo CVSS e EPSS lado a lado.
  • Priorização Dinâmica: Reclassificando vulnerabilidades diariamente à medida que os scores EPSS mudam.
  • Aceitação de Risco: Marcando com segurança vulnerabilidades de baixo EPSS como “Aceitar Risco” por um período definido.
  • Contexto Rico: Ligando o score às famílias específicas de exploits (por exemplo, “Usado pelo Grupo de Ransomware X”).

Exemplos de ferramentas: Plataformas de gerenciamento de vulnerabilidades e Plexicus ASPM, que usa EPSS para filtrar ruído de varreduras de código.

Melhores Práticas para EPSS

  • Combine CVSS e EPSS: Não ignore o CVSS. O “Santo Graal” da priorização é Alto CVSS + Alto EPSS.
  • Defina Limiares: Defina o que “Alto” significa para sua organização. Muitas equipes começam a priorizar em EPSS > 0.1 (10%) porque a pontuação média é muito baixa.
  • Automatize: Use APIs para puxar scores EPSS para seu sistema de tickets (Jira).
  • Revise Diariamente: Os scores EPSS mudam. Uma vulnerabilidade com um score de 0.01 hoje pode saltar para 0.80 amanhã se uma Prova de Conceito (PoC) for publicada no Twitter.

Termos Relacionados

FAQ: Pontuação EPSS

1. O que é uma boa pontuação EPSS?

Não há uma pontuação “boa”, mas quanto menor, melhor para a segurança. A maioria das vulnerabilidades tem pontuações muito baixas (abaixo de 0,05). Se uma pontuação estiver acima de 0,10 (10%), está no percentil superior de ameaças e deve ser investigada. Uma pontuação acima de 0,50 é uma emergência.

2. O EPSS substitui o CVSS?

Não. O CVSS mede a Gravidade (impacto). O EPSS mede a Probabilidade (ameaça). Você precisa de ambos. Um bug de baixa gravidade com alta probabilidade é irritante, mas gerenciável. Um bug de alta gravidade com alta probabilidade é uma crise.

3. Com que frequência o EPSS é atualizado?

O modelo é re-treinado e as pontuações são atualizadas diariamente por FIRST.org.

4. Por que minha vulnerabilidade crítica está mostrando uma pontuação EPSS baixa?

Porque pode ser muito difícil de explorar. Talvez exija acesso físico ao servidor, ou talvez o código de exploração seja complexo e instável. Os atacantes preferem alvos fáceis.

5. Posso usar o EPSS para aplicações internas?

O EPSS é calculado para CVEs (vulnerabilidades públicas). Ele não gera pontuações para vulnerabilidades de código personalizado (como um bug de lógica específico em seu aplicativo privado), a menos que esse bug esteja mapeado para uma biblioteca CVE conhecida.

Próximos Passos

Pronto para proteger suas aplicações? Escolha seu caminho a seguir.

Iniciar Teste Gratuito

Experimente o Plexicus sem riscos por 14 dias

Ver Preços

Preços transparentes para equipes de todos os tamanhos

Junte-se à Comunidade

Junte-se à nossa Comunidade Global

Leia a Documentação

Leia nossa Documentação Abrangente

Junte-se a mais de 500 empresas que já estão protegendo suas aplicações com o Plexicus

SOC 2 Compliant
ISO 27001 Certified
Enterprise Ready