Điểm EPSS (Hệ thống Chấm điểm Dự đoán Khai thác)

Tóm tắt: Điểm EPSS

Hệ thống Chấm điểm Dự đoán Khai thác (EPSS) là một tiêu chuẩn dựa trên dữ liệu ước tính khả năng một lỗ hổng phần mềm cụ thể sẽ bị khai thác trong thực tế.

Quá trình này sẽ giúp bạn:

• Ưu tiên những gì cần sửa trước dựa trên dữ liệu mối đe dọa thực tế.
• Giảm mệt mỏi do cảnh báo bằng cách bỏ qua các lỗ hổng nghiêm trọng mà kẻ tấn công không thực sự nhắm đến.
• Tối ưu hóa tài nguyên bảo mật bằng cách tập trung vào 5% lỗ hổng thực sự gây rủi ro.

Mục tiêu của EPSS là cho bạn biết khả năng một lỗ hổng bị tấn công là bao nhiêu, không chỉ mức độ gây hại của cuộc tấn công.

Điểm EPSS là gì

Điểm EPSS là một chỉ số từ 0 đến 1 (hoặc 0% đến 100%) đại diện cho xác suất một lỗ hổng cụ thể (CVE) sẽ bị khai thác trong vòng 30 ngày tới.

Nó được quản lý bởi Diễn đàn của các Đội Phản ứng Sự cố và An ninh (FIRST), cùng tổ chức quản lý CVSS. Trong khi CVSS đo lường mức độ nghiêm trọng của một lỗ hổng (mức độ tồi tệ của nó), EPSS đo lường mối đe dọa (khả năng xảy ra của nó).

Nói một cách đơn giản:

CVSS cho bạn biết, “Cửa sổ này bị vỡ, và nó là một cửa sổ lớn.” EPSS cho bạn biết, “Có một tên trộm đang đứng ngay bên ngoài cửa sổ cụ thể đó.”

Tại sao EPSS quan trọng

Các đội an ninh đang chìm trong các cảnh báo “Nghiêm trọng”. Một cuộc quét doanh nghiệp điển hình có thể hiển thị hàng ngàn lỗ hổng với điểm CVSS từ 9.0 trở lên. Không thể sửa chữa tất cả ngay lập tức.

Vậy tại sao EPSS lại quan trọng:

CVSS không đủ. Nghiên cứu cho thấy rằng ít hơn 5% trong tổng số CVE đã công bố từng bị khai thác trong thực tế. Nếu bạn sửa các lỗ hổng chỉ dựa trên mức độ nghiêm trọng của CVSS, bạn đang lãng phí thời gian sửa các lỗi mà không ai tấn công.

Ưu tiên trong thế giới thực. EPSS sử dụng thông tin tình báo về mối đe dọa hiện tại. Một lỗ hổng có thể trông nguy hiểm trên giấy tờ (CVSS cao), nhưng nếu không có mã khai thác tồn tại và không có kẻ tấn công nào sử dụng nó, điểm EPSS sẽ thấp.

Hiệu quả. Bằng cách lọc các điểm EPSS cao, các nhóm có thể giảm bớt tồn đọng khắc phục lên đến 85% trong khi vẫn giải quyết các mối đe dọa nguy hiểm nhất.

Cách EPSS Hoạt Động

EPSS không phải là một con số tĩnh. Nó là một mô hình học máy cập nhật hàng ngày. Nó phân tích lượng dữ liệu khổng lồ để tạo ra một điểm xác suất.

1. Thu Thập Dữ Liệu

Mô hình thu thập dữ liệu từ nhiều nguồn:

• Danh sách CVE: Dữ liệu từ MITRE và NVD.
• Mã Khai Thác: Sự sẵn có của các script khai thác trong các công cụ như Metasploit hoặc ExploitDB.
• Hoạt Động Thực Tế: Nhật ký từ tường lửa, IDS, và honeypot cho thấy các cuộc tấn công đang hoạt động.
• Thảo Luận Trên Dark Web: Các cuộc thảo luận trên các diễn đàn hacker.

2. Tính Toán Xác Suất

Mô hình tính toán một điểm từ 0.00 (0%) đến 1.00 (100%).

• 0.95 có nghĩa là có 95% khả năng lỗ hổng này đang bị khai thác ngay bây giờ hoặc sẽ sớm bị khai thác.
• 0.01 có nghĩa là rất khó có khả năng bị khai thác.

3. Ứng Dụng

Các công cụ bảo mật sử dụng điểm này để sắp xếp danh sách lỗ hổng. Thay vì sắp xếp theo “Mức độ Nghiêm trọng,” bạn sắp xếp theo “Khả năng Bị Tấn Công.”

Ví Dụ Trong Thực Tế

Hãy tưởng tượng máy quét của bạn phát hiện hai lỗ hổng.

Lỗ hổng A:

• CVSS: 9.8 (Nguy cấp)
• EPSS: 0.02 (2%)
• Ngữ cảnh: Đây là một lỗi tràn lý thuyết trong một thư viện bạn sử dụng, nhưng chưa ai tìm ra cách khai thác nó.

Lỗ hổng B:

• CVSS: 7.5 (Cao)
• EPSS: 0.96 (96%)
• Ngữ cảnh: Đây là lỗ hổng Log4j hoặc một lỗ hổng bỏ qua VPN đã được các băng nhóm ransomware sử dụng tích cực hiện nay.

Không có EPSS: Bạn có thể sửa Lỗ hổng A trước vì 9.8 > 7.5.

Với EPSS (sử dụng Plexicus):

1. Bạn điều hướng đến Bảng điều khiển Plexicus.
2. Bạn lọc các phát hiện theo EPSS > 0.5.
3. Plexicus ngay lập tức làm nổi bật Lỗ hổng B.
4. Bạn vá Lỗ hổng B trước vì nó là mối đe dọa ngay lập tức. Lỗ hổng A được đưa vào danh sách chờ.

Kết quả: Bạn đã ngăn chặn một vector tấn công đang hoạt động thay vì vá một lỗi lý thuyết.

Ai Sử Dụng EPSS

• Quản lý Lỗ hổng - để quyết định những bản vá nào sẽ được đưa vào sản xuất trong tuần này.
• Nhà phân tích Tình báo Mối đe dọa - để hiểu rõ bối cảnh mối đe dọa hiện tại.
• CISO - để biện minh cho ngân sách và phân bổ nguồn lực dựa trên rủi ro thay vì nỗi sợ hãi.
• Nhóm DevSecOps - để tự động phá vỡ các bản dựng chỉ đối với các lỗ hổng quan trọng.

Khi Nào Áp Dụng EPSS

EPSS nên được sử dụng trong giai đoạn Phân loại và Khắc phục của quản lý lỗ hổng.

• Trong quá trình phân loại - Khi bạn có 500 lỗi nghiêm trọng và chỉ có thời gian để sửa 50 lỗi.
• Trong chính sách - Đặt quy tắc như “Sửa bất kỳ lỗi nào có EPSS > 50% trong vòng 24 giờ.”
• Trong báo cáo - Cho lãnh đạo thấy rằng bạn đang giảm “Rủi ro có thể khai thác,” không chỉ đơn giản là đóng các vé.

Khả năng chính của công cụ EPSS

Các công cụ tích hợp EPSS thường cung cấp:

• Đánh giá kép: Hiển thị CVSS và EPSS cạnh nhau.
• Ưu tiên động: Xếp hạng lại các lỗ hổng hàng ngày khi điểm EPSS thay đổi.
• Chấp nhận rủi ro: Đánh dấu an toàn các lỗ hổng EPSS thấp là “Chấp nhận rủi ro” trong một khoảng thời gian nhất định.
• Ngữ cảnh phong phú: Liên kết điểm số với các nhóm khai thác cụ thể (ví dụ: “Được sử dụng bởi Nhóm Ransomware X”).

Ví dụ về công cụ: Các nền tảng quản lý lỗ hổng và Plexicus ASPM, sử dụng EPSS để lọc ra nhiễu từ quét mã.

Thực hành tốt nhất cho EPSS

• Kết hợp CVSS và EPSS: Không bỏ qua CVSS. “Chén thánh” của việc ưu tiên là CVSS cao + EPSS cao.
• Đặt ngưỡng: Xác định “Cao” có nghĩa là gì đối với tổ chức của bạn. Nhiều nhóm bắt đầu ưu tiên từ EPSS > 0.1 (10%) vì điểm trung bình rất thấp.
• Tự động hóa: Sử dụng API để kéo điểm EPSS vào hệ thống quản lý vé của bạn (Jira).
• Xem xét hàng ngày: Điểm EPSS thay đổi. Một lỗ hổng có điểm 0.01 hôm nay có thể nhảy lên 0.80 vào ngày mai nếu một Bằng chứng Khái niệm (PoC) được công bố trên Twitter.

Thuật ngữ liên quan

• CVSS (Hệ thống Chấm điểm Lỗ hổng Chung)
• Quản lý Lỗ hổng
• CVE (Lỗ hổng và Phơi nhiễm Chung)
• Khai thác Zero-Day