Vulnerability management: Exploit Prediction Scoring System
Exploit Prediction Scoring Systém, zkr. EPSS slouží ke stanovení pravděpodobnosti zneužití zranitelnosti, které bylo přiděleno CVE.
Hlavní myšlenka EPSS vychází z předpokladu, že jestliže existuje obrovské množství zranitelností, ale jen některé z nich jsou pak reálně zneužívány, tak by bylo vhodné se jako první věnovat těm zranitelnostem, u kterých je větší pravděpodobnost, že budou v následujících 30 dnech skutečně zneužity.
Dle dostupných informací těch skutečně zneužívaných zranitelností je jen kolem pár jednotek procent (2 až 7 %), takže v okamžiku, kdy se organizace rozhoduje jen na základě CVSS skóre, tak hrozí, že začne s odstraňováním zrovna těch zranitelností, které nakonec zneužity vůbec nebudou.
Je třeba si uvědomit, že nejenže takto mohou být upřednostněny k řešení zranitelnosti, které nakonec exploitovány nikdy nebudou (false positive, zkr. FP), což je častý případ, ale především že nebudou prioritně řešeny zranitelnosti, kde je pravděpodobnost jejich zneužití mnohem větší (false negative, zkr. FN).
Takové řízení technických zranitelností nelze označit zrovna jako efektivní, obzvláště když z posledních výzkumů ještě vyplývá, že organizace je schopna odstranit maximálně pětinu zranitelností za měsíc.
Za efektivní by se naopak dalo označit takové řízení technických zranitelností, kde se podíl mezi prioritně řešenými zranitelnostmi, které skutečně byly zneužity (true positive, zkr. TP) a skutečně zneužívanými zranitelnostmi a blíží jedné.
Samozřejmě že ani EPSS systém není dokonalý a nemusí vždy správně predikovat, že daná zranitelnost bude v nejbližších dnech exploitována, ale má největší přínos u zranitelností, o kterých máme minimum informací. Naopak u těch zranitelností, kde máme informací dost, se jím řídit nemusíme.
Aktuální EPSS skóre pro všechny zranitelnosti si můžete stáhnout a případně využít i API a dotazovat se pak třeba jen na skóre konkrétní zranitelnosti, která je předmětem vašeho zájmu.
Celé řešení EPSS pak stojí a padá na informací získaných od partnerů provozujících bezpečnostní řešení, které zneužití konkrétních zranitelností detekují skrze IDS/IPS, antimalware anebo honeypoty a dále pak v rámci cyber threat intelligence.
Poznámka: EPSS byl poprvé představen na Blackhat konferenci v roce 2019, za tu dobu prošel několika změnami a poslední verze byla uvolněna 7. března 2023.
Štítky: vulnerability management
K článku “Vulnerability management: Exploit Prediction Scoring System” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.