EPSS: инструмент предсказывает следующий ход хакера

С каждым годом количество публикуемых уязвимостей (CVE) растет, что делает все более важным прогнозирование тех из них, которые требуют внимания команд по управлению уязвимостями. Новое исследование Cyentia и FIRST выявило, что Exploit Prediction Scoring System (EPSS) является полезным инструментом для принятия обоснованных решений о приоритизации уязвимостей.

Исследование было направлено на изучение времени, распространенности и объема активности по эксплуатации, а также на сбор и анализ отзывов о работе EPSS. Отчет предоставляет данные и анализ, которые будут полезны для растущего сообщества корпоративных пользователей и продуктов безопасности, использующих EPSS.

Ключевые выводы исследования

1. Доля эксплуатируемых уязвимостей: на сегодняшний день опубликовано почти 250 000 CVE, причем за последние 7 лет их количество выросло на 16%. Никто не имеет времени и ресурсов для устранения всех уязвимостей, поэтому важным шагом в приоритизации является отслеживание и прогнозирование количества эксплуатируемых уязвимостей. В исследовании показано, что около 6% всех опубликованных CVE были подвергнуты эксплуатации, и показатель остается стабильным.
2. Модель активности по эксплуатации: единообразного паттерна активности эксплуатации не существует. Некоторые уязвимости могут иметь кратковременные и редкие эксплуатации, другие - регулярные атаки по будням, третьи – ежедневные или еженедельные попытки с пиками активности в определенные периоды. Это подчеркивает, что интенсивность и продолжительность эксплуатации могут сильно различаться, и важно учитывать такие параметры при приоритизации.
3. Распространенность эксплуатации среди организаций: анализ данных более 100 000 организаций по всему миру показал, что попытки эксплуатации конкретной ошибки встречаются нечасто. Менее 5% недостатков подвергаются атакам более чем в 10% организаций, что опровергает представление о том, что эксплуатация уязвимости означает ее распространенность повсеместно.

Эффективность EPSS в прогнозировании эксплуатации

EPSS — это основанная на данных оценка вероятности того, что программная уязвимость будет эксплуатирована в реальных условиях. EPSS ежедневно оценивает все известные CVE и предоставляет вероятностный балл, показывающий вероятность эксплуатации.

Исследование показало, что с каждой новой версией EPSS улучшается способность предсказывать эксплуатации. 3 ключевых метрики, используемые для оценки эффективности, включают:

• Охват: оценка полноты приоритизации активности эксплуатации (процент всех известных эксплуатируемых уязвимостей, которым был правильно присвоен приоритет).
• Эффективность: оценка точности приоритизаций (процент уязвимостей, приоритизированных для устранения, которые были эксплуатированы).
• Усилия: оценка общей рабочей нагрузки по приоритизации (процент приоритизированных уязвимостей от всех уязвимостей).

Устранение уязвимостей с баллом EPSS 0.6+ обеспечивает охват около 60% с эффективностью 80%, тогда как устранение уязвимостей с баллом 0.1+ меняет охват на 80% с эффективностью 50%. Каждая организация имеет разный уровень терпимости к риску, что влияет на стратегии приоритизации. Понимание метрик охвата, эффективности и усилий помогает организациям принимать более эффективные решения по управлению уязвимостями.