EPSS-poäng (Exploit Prediction Scoring System)

TL;DR: EPSS-poäng

Exploit Prediction Scoring System (EPSS) är en datadriven standard som uppskattar sannolikheten för att en specifik sårbarhet i mjukvara kommer att utnyttjas i det vilda.

Denna process hjälper dig att:

• Prioritera vad som ska åtgärdas först baserat på verkliga hotdata.
• Minska larmtrötthet genom att ignorera sårbarheter med hög allvarlighetsgrad som angripare faktiskt inte riktar in sig på.
• Optimera säkerhetsresurser genom att fokusera på de 5% av sårbarheterna som utgör en verklig risk.

Målet med EPSS är att berätta hur sannolikt det är att en sårbarhet kommer att attackeras, inte bara hur skadlig attacken skulle vara.

Vad är EPSS-poängen

EPSS-poängen är ett mått mellan 0 och 1 (eller 0% till 100%) som representerar sannolikheten för att en specifik sårbarhet (CVE) kommer att utnyttjas inom de närmaste 30 dagarna.

Det hanteras av Forum of Incident Response and Security Teams (FIRST), samma organisation som hanterar CVSS. Medan CVSS mäter allvarligheten av en sårbarhet (hur dålig den är), mäter EPSS hotet (hur sannolikt det är att det händer).

I enkla termer:

CVSS säger till dig, “Detta fönster är trasigt, och det är ett stort fönster.” EPSS säger till dig, “Det står en inbrottstjuv precis utanför det specifika fönstret.”

Varför EPSS är viktigt

Säkerhetsteam drunknar i “Kritiska” larm. En typisk företagsgenomsökning kan visa tusentals sårbarheter med en CVSS-poäng på 9,0 eller högre. Det är omöjligt att åtgärda dem alla omedelbart.

Så varför är EPSS viktigt:

CVSS är inte tillräckligt. Forskning visar att mindre än 5% av alla publicerade CVE

någonsin utnyttjas i det vilda. Om du åtgärdar sårbarheter baserat enbart på CVSS-severitet, slösar du tid på att fixa buggar som ingen attackerar.

Prioritering i verkligheten. EPSS använder aktuell hotinformation. En sårbarhet kan se farlig ut på papperet (Hög CVSS), men om det inte finns någon exploateringskod och inga angripare använder den, kommer EPSS-poängen att vara låg.

Effektivitet. Genom att filtrera för höga EPSS-poäng kan team minska sin åtgärdsbacklog med upp till 85% samtidigt som de fortfarande hanterar de farligaste hoten.

Hur EPSS fungerar

EPSS är inte ett statiskt nummer. Det är en maskininlärningsmodell som uppdateras dagligen. Den analyserar enorma mängder data för att generera en sannolikhetspoäng.

1. Datainsamling

Modellen tar in data från flera källor:

• CVE-listor: MITRE och NVD-data.
• Exploateringskod: Tillgänglighet av exploateringsskript i verktyg som Metasploit eller ExploitDB.
• Aktivitet i det vilda: Loggar från brandväggar, IDS
  och honeypots som visar aktiva attacker.
• Mörka webbdiskussioner: Diskussioner på hackarforum.

2. Sannolikhetsberäkning

Modellen beräknar en poäng från 0,00 (0%) till 1,00 (100%).

• 0,95 betyder att det finns 95% chans att denna sårbarhet utnyttjas just nu eller snart kommer att utnyttjas.
• 0,01 betyder att det är mycket osannolikt att den kommer att utnyttjas.

3. Tillämpning

Säkerhetsverktyg tar in denna poäng för att sortera sårbarhetslistor. Istället för att sortera efter “Severitet” sorterar du efter “Sannolikhet för attack”.

Exempel i praktiken

Föreställ dig att din skanner hittar två sårbarheter.

Sårbarhet A:

• CVSS: 9.8 (Kritisk)
• EPSS: 0.02 (2%)
• Kontext: Det är en teoretisk översvämning i ett bibliotek du använder, men ingen har ännu lyckats utnyttja den.

Sårbarhet B:

• CVSS: 7.5 (Hög)
• EPSS: 0.96 (96%)
• Kontext: Detta är Log4j-sårbarheten eller en känd VPN-omgång som ransomware-gäng aktivt använder idag.

Utan EPSS: Du kanske åtgärdar Sårbarhet A först eftersom 9.8 > 7.5.

Med EPSS (med Plexicus):

1. Du navigerar till Plexicus Dashboard.
2. Du filtrerar fynd genom EPSS > 0.5.
3. Plexicus markerar Sårbarhet B omedelbart.
4. Du patchar Sårbarhet B först eftersom det är ett omedelbart hot. Sårbarhet A går in i backloggen.

Resultat: Du stoppade en aktiv attackvektor istället för att patcha en teoretisk bugg.

Vem använder EPSS

• Sårbarhetshanterare - för att bestämma vilka patchar som ska implementeras i produktion denna vecka.
• Hotintelligensanalytiker - för att förstå det aktuella hotlandskapet.
• CISO
  - för att motivera budget och resursallokering baserat på risk snarare än rädsla.
• DevSecOps-team - för att automatisera brytande byggen endast för sårbarheter som spelar roll.

När man ska tillämpa EPSS

EPSS bör användas under Triage och Åtgärdsfasen av sårbarhetshantering.

• Under Triage - När du har 500 kritiska buggar och bara tid att fixa 50.
• I Policy - Sätt regler som ”Patcha allt med EPSS > 50% inom 24 timmar.”
• I Rapportering - Visa ledningen att du minskar ”Exploaterbar Risk,” inte bara stänger biljetter.

Nyckelfunktioner hos EPSS-verktyg

Verktyg som integrerar EPSS tillhandahåller vanligtvis:

• Dubbel Poängsättning: Visar CVSS och EPSS sida vid sida.
• Dynamisk Prioritering: Omprioriterar sårbarheter dagligen när EPSS-poäng ändras.
• Riskacceptans: Märker säkert låg-EPSS sårbarheter som ”Acceptera Risk” för en bestämd period.
• Rik Kontext: Kopplar poängen till specifika exploateringsfamiljer (t.ex. ”Används av Ransomware Group X”).

Exempel på verktyg: Sårbarhetshanteringsplattformar och Plexicus ASPM,** som använder EPSS för att filtrera bort brus från kodskanningar.

Bästa Praxis för EPSS

• Kombinera CVSS och EPSS: Ignorera inte CVSS. Den ”Heliga Graalen” av prioritering är Hög CVSS + Hög EPSS.
• Sätt Tröskelvärden: Definiera vad ”Hög” betyder för din organisation. Många team börjar prioritera vid EPSS > 0,1 (10%) eftersom den genomsnittliga poängen är mycket låg.
• Automatisera: Använd API
  för att hämta EPSS-poäng till ditt ärendehanteringssystem (Jira).
• Granska Dagligen: EPSS-poäng ändras. En sårbarhet med en 0,01-poäng idag kan hoppa till 0,80 imorgon om ett Proof of Concept (PoC) publiceras på Twitter.

Relaterade Termer

• CVSS (Common Vulnerability Scoring System)
• Sårbarhetshantering
• CVE (Common Vulnerabilities and Exposures)
• Zero-Day Exploit