EPSS Skoru (Exploit Prediction Scoring System)

Kısaca: EPSS Skoru

Exploit Prediction Scoring System (EPSS), belirli bir yazılım açığının vahşi doğada kullanılma olasılığını tahmin eden veri odaklı bir standarttır.

Bu süreç size şunları yapmanızda yardımcı olacaktır:

• Gerçek dünya tehdit verilerine dayanarak önce neyi düzeltmeniz gerektiğini önceliklendirin.
• Saldırganların aslında hedef almadığı yüksek şiddetli açıkları görmezden gelerek uyarı yorgunluğunu azaltın.
• Gerçek bir risk oluşturan açıkların %5’ine odaklanarak güvenlik kaynaklarını optimize edin.

EPSS’nin amacı, bir açığın ne kadar olası bir şekilde saldırıya uğrayacağını, saldırının ne kadar zarar verici olacağını değil, size söylemektir.

EPSS Skoru Nedir

EPSS Skoru, belirli bir açığın (CVE) önümüzdeki 30 gün içinde kullanılma olasılığını temsil eden 0 ile 1 (veya %0 ile %100) arasında bir ölçüttür.

Bu, CVSS’yi yöneten aynı organizasyon olan Forum of Incident Response and Security Teams (FIRST) tarafından yönetilmektedir. CVSS bir açığın şiddetini (ne kadar kötü olduğunu) ölçerken, EPSS tehdidi (olma olasılığını) ölçer.

Basit terimlerle :

CVSS size, “Bu pencere kırık ve büyük bir pencere.” der. EPSS size, “O belirli pencerenin hemen dışında bir hırsız var.” der.

EPSS Neden Önemlidir

Güvenlik ekipleri “Kritik” uyarılar içinde boğuluyor. Tipik bir kurumsal tarama, CVSS skoru 9.0 veya daha yüksek olan binlerce açık gösterebilir. Hepsini hemen düzeltmek imkansızdır.

Peki EPSS neden önemlidir :

CVSS yeterli değil. Araştırmalar, yayımlanan tüm CVE’lerin %5’inden daha azının vahşi doğada istismar edildiğini gösteriyor. Yalnızca CVSS şiddetine dayanarak güvenlik açıklarını düzeltirseniz, kimsenin saldırmadığı hataları düzeltmek için zaman harcıyorsunuz.

Gerçek dünya önceliklendirmesi. EPSS, mevcut tehdit istihbaratını kullanır. Bir güvenlik açığı kağıt üzerinde tehlikeli görünebilir (Yüksek CVSS), ancak hiçbir istismar kodu yoksa ve saldırganlar bunu kullanmıyorsa, EPSS puanı düşük olacaktır.

Verimlilik. Yüksek EPSS puanlarını filtreleyerek, ekipler en tehlikeli tehditleri ele alırken düzeltme birikimlerini %85’e kadar azaltabilir.

EPSS Nasıl Çalışır

EPSS statik bir sayı değildir. Günlük olarak güncellenen bir makine öğrenme modelidir. Büyük miktarda veriyi analiz ederek olasılık puanı oluşturur.

1. Veri Toplama

Model, birden fazla kaynaktan veri alır:

• CVE Listeleri: MITRE ve NVD verileri.
• İstismar Kodu: Metasploit veya ExploitDB gibi araçlarda istismar scriptlerinin bulunabilirliği.
• Vahşi Aktivite: Aktif saldırıları gösteren güvenlik duvarları, IDS’ler ve honeypotlardan gelen günlükler.
• Karanlık Web Sohbeti: Hacker forumlarındaki tartışmalar.

2. Olasılık Hesaplama

Model, 0.00 (0%) ile 1.00 (100%) arasında bir puan hesaplar.

• 0.95 bu güvenlik açığının şu anda veya yakında istismar edilme olasılığının %95 olduğunu gösterir.
• 0.01 istismar edilme olasılığının çok düşük olduğunu gösterir.

3. Uygulama

Güvenlik araçları bu puanı alarak güvenlik açığı listelerini sıralar. “Şiddet” yerine “Saldırı Olasılığı”na göre sıralama yaparsınız.

Uygulamada Örnek

Tarayıcınız iki güvenlik açığı bulduğunu hayal edin.

Güvenlik Açığı A:

• CVSS: 9.8 (Kritik)
• EPSS: 0.02 (%2)
• Bağlam: Kullandığınız bir kütüphanede teorik bir taşma var, ancak kimse bunu nasıl silahlandıracağını henüz çözmedi.

Güvenlik Açığı B:

• CVSS: 7.5 (Yüksek)
• EPSS: 0.96 (%96)
• Bağlam: Bu, Log4j güvenlik açığı veya fidye yazılımı çetelerinin bugün aktif olarak kullandığı bilinen bir VPN atlamasıdır.

EPSS Olmadan: 9.8 > 7.5 olduğu için Güvenlik Açığı A’yı önce düzeltebilirsiniz.

EPSS ile (Plexicus kullanarak):

1. Plexicus Dashboard’a gidiyorsunuz.
2. Bulguları EPSS > 0.5 olarak filtreliyorsunuz.
3. Plexicus hemen Güvenlik Açığı B’yi vurguluyor.
4. Güvenlik Açığı B’yi önce yamalıyorsunuz çünkü bu acil bir tehdit. Güvenlik Açığı A arka plana atılıyor.

Sonuç: Teorik bir hatayı yamalamak yerine aktif bir saldırı vektörünü durdurdunuz.

EPSS’i Kimler Kullanır

• Güvenlik Açığı Yöneticileri - bu hafta üretime hangi yamaların gönderileceğine karar vermek için.
• Tehdit İstihbarat Analistleri - mevcut tehdit ortamını anlamak için.
• CISO’lar - bütçe ve kaynak tahsisini korku yerine risk temelinde gerekçelendirmek için.
• DevSecOps Ekipleri - yalnızca önemli güvenlik açıkları için yapıların kırılmasını otomatikleştirmek için.

EPSS’i Ne Zaman Uygulamalı

EPSS, güvenlik açığı yönetiminin Triage ve Düzeltme aşamasında kullanılmalıdır.

• Üçleme Sırasında - 500 kritik hata olduğunda ve sadece 50 tanesini düzeltmek için zamanınız olduğunda.
• Politikada - “EPSS > %50 olan her şeyi 24 saat içinde yamalayın” gibi kurallar belirleyin.
• Raporlamada - Liderliğe “Kullanılabilir Riski” azalttığınızı, sadece biletleri kapatmadığınızı gösterin.

EPSS Araçlarının Ana Özellikleri

EPSS’yi entegre eden araçlar genellikle şunları sağlar:

• Çift Puanlama: CVSS ve EPSS’yi yan yana gösterme.
• Dinamik Önceliklendirme: EPSS puanları değiştikçe günlük olarak güvenlik açıklarını yeniden sıralama.
• Risk Kabulü: Düşük EPSS güvenlik açıklarını belirli bir süre için “Risk Kabul Et” olarak güvenli bir şekilde işaretleme.
• Zengin Bağlam: Puanı belirli exploit aileleriyle (örneğin, “Ransomware Group X tarafından kullanılıyor”) ilişkilendirme.

Örnek araçlar: Güvenlik açığı yönetim platformları ve Plexicus ASPM, kod taramalarından gelen gürültüyü filtrelemek için EPSS kullanır.

EPSS için En İyi Uygulamalar

• CVSS ve EPSS’yi Birleştirin: CVSS’yi görmezden gelmeyin. Önceliklendirme için “Kutsal Kase” Yüksek CVSS + Yüksek EPSS’dir.
• Eşikler Belirleyin: “Yüksek”in sizin organizasyonunuz için ne anlama geldiğini tanımlayın. Birçok ekip, ortalama puan çok düşük olduğu için EPSS > 0.1 (10%) ile önceliklendirmeye başlar.
• Otomatize Edin: EPSS puanlarını biletleme sisteminize (Jira) çekmek için API’leri kullanın.
• Günlük İnceleyin: EPSS puanları değişir. Bugün 0.01 puana sahip bir güvenlik açığı, Twitter’da bir Kavram Kanıtı (PoC) yayınlanırsa yarın 0.80’e yükselebilir.

İlgili Terimler

• CVSS (Ortak Güvenlik Açığı Puanlama Sistemi)
• Güvenlik Açığı Yönetimi
• CVE (Ortak Güvenlik Açıkları ve Açıklamalar)
• Sıfır Gün Açığı