通用漏洞評分系統（CVSS）是當前應用最頻繁的評分系統以評估安全漏洞的嚴重性。但是，由于該系統在評估漏洞和優先級排序方面存在不足而遭受批評。因此，有部分專業人士呼吁使用漏洞利用預測評分系統（EPSS）或將 CVSS 與 EPSS 結合來推動漏洞指標變得更加可執行和高效。與 CVSS 一樣，EPSS 由國際網絡安全應急論壇組織（FIRST）來管理。
?

EPSS 是什么？

EPSS 以開放、數據導向為主要特點，旨在評估一個軟件漏洞可以被利用的概率。CVSS 則聚焦于漏洞的內在特征，最終生成一個嚴重性評分。但該嚴重性評分不能評估漏洞被利用的可能性，而這對于需要確定漏洞修復優先級的專業人員來說是至關重要的信息，因為這能最大程度降低漏洞對組織的影響。
?

EPSS 項目是由研究人員、安全從業人員、學者和政府人員自愿推動和領導的，因此EPSS有一個特別興趣小組（SIG），對那些有興趣參與這項工作的公眾開放。盡管這一項目采用這種行業合作驅動的方法，但是FIRST擁有更新該其認為合適的模型和相關指南的權利。興趣小組的成員包括來自 RAND、Cyentia、Virginia Tech和Kenna Security等組織的主席和創建者，當然還有來自其他不同組織和企業的成員。針對 EPSS ，有幾篇相關的論文深入研究了相關的主題，如攻擊預測，漏洞建模和披露，以及軟件利用。
?

EPSS 模型是如何發揮作用的？

EPSS 旨在幫助安全從業者及他們的組織優化漏洞修復優先級排序工作。當今數字化環境中的漏洞數量呈指數級增長，而且由于系統和社會的數字化程度提高、對數字產品的審查加強以及研究和報告能力的提升等因素，這一數字還在不斷增加。
?

EPSS稱，通常情況下，企業或組織每月只能修復5%到20%的漏洞。在已公布的漏洞中，只有不到10%的漏洞會被人利用。而長期存在的人才缺口對漏洞修復數量也產生影響，例如，每年 ISC2 網絡安全人才研究顯示，全球網絡安全專業人員的缺口超過200萬人。這些因素要求企業采用一個連貫而有效的方法來確定漏洞對其組織構成的風險的嚴重程度，以進一步確定漏洞修復的優先級，從而避免浪費有限的資源和時間。
?

EPSS 模型的目標是通過生成漏洞在未來30天內可利用性評分來為用戶提供支持，該評分范圍在0到1或0%到100%之間。為了提供這些分數和預測，EPSS 使用來自 MITRE CVE列表等來源的數據、關于 CVE 的數據，包括自發布以來的天數，以及來自安全供應商的在野研究。
?

EPSS 團隊公布了數據，數據表明 CVSS 評分與 EPSS 評分相結合的方法可以讓漏洞修復工作更高效。例如，許多企業或組織規定，達到某個 CVSS 評分的漏洞必須被修復，如7分或7分以上。然而，這只是根據 CVSS 評分來確定漏洞修復的優先次序，而沒有考慮到漏洞是否可被利用。因此，將 EPSS 和 CVSS 結合起來更為有效，因為這樣可以根據漏洞的嚴重程度以及它們是否可以被利用來確定優先級，使得企業能夠集中精力和資源處理對企業構成最大風險的CVE。
?

EPSS 關注兩個核心指標——效率和覆蓋率。效率考察組織如何利用資源來解決已修復的漏洞的百分比。EPSS指出，相對于僅基于CVSS的嚴重性評分的隨機漏洞，組織的大部分資源用于修復大部分已知的被利用的漏洞更為有效。覆蓋率是指被利用的漏洞中被修復的百分比。
?

為了顯示他們提出的方法的效率，EPSS在2021年進行了一項研究，評估了 CVSS v3 基礎分數和 EPSS v1 和 EPSS v2 在30天內的數據，以確定CVE的總數、被修復的CVE的數量和被利用的CVE的數目。
?

研究表明大多數CVE沒有得到修復，而在得到修復的CVE中只有一部分的CVE是可以被利用的，換言之，企業沒有對大部分CVE進行修復，而在那些已修復的CVE中，需要CVE并不會被利用，而且可能并不構成最大的風險。
?

該研究還表明，EPSS v2 進一步提高了漏洞修復工作的效率，最大限度地提高了被利用漏洞的修復比例。當企業沒有雇傭足夠的網絡安全專家時，通過讓資源集中在對企業構成最大風險的婁底市，使其投資回報最大化是至關重要的。EPSS 試圖幫助企業更有效地利用其有限的資源，提高其降低風險的效率。
?

EPSS 的美中不足

與CVSS一樣，EPSS 也有來自業界和學術界的批評者。其中，有一篇題為《也許還不能依賴EPSS》的文章來自卡耐基梅隆大學軟件工程研究所（SEI）的博客（見參考鏈接）。SEI最初發表了一篇題為 Towards Improving CVSS 的論文，其中對 CVSS 提出了一些尖銳的批評，而EPSS則是在文章發表后不久誕生的。
?

文章的主要批評意見包括 EPSS 的不透明性，以及其數據和產出的問題。文章討論了EPSS是如何決定開發過程、治理或其目標受眾的，但這一點并不清楚。EPSS依賴于預先存在的 CVE ID，這意味著它對軟件供應商、事件響應小組或漏洞賞金小組等組織沒有幫助，因為這些小組處理的許多漏洞還沒有 CVE ID。另外，EPSS 在處理零日漏洞時不會有幫助，因為這些漏洞在利用過程中獲得可見性，而且沒有 CVE ID。
?

文章指出，EPSS 關注的是一個漏洞在未來30天內被利用的概率，但這需要有一些基本的數據，才能進行預測。它們包括 NVD 中現有的 CVE ID 和相關的 CVSS v3 矢量值， IDS 簽名（這與主動嘗試利用 CVE ID 相關），以及與未來30天相關聯的模型。
?

正如作者所指出的，只有10%的具有 CVE ID 的漏洞附帶 IDS 簽名，這意味著90%的具有 CVE ID 的漏洞可能沒有被發現利用。這也會在 IDS 傳感器和相關數據方面 Fortinet 和 AlienVault 產生依賴性。但是，這在一定程度上可以通過更廣泛的安全供應商社區的進一步參與而得到緩解。
?

雖然這些都是有效的批評，但使用 EPSS 依舊為企業提供了一個窗口，使他們能夠充分利用稀缺的安全資源來降低組織風險。專注于具有最高利用概率的漏洞，使企業能夠有效投入資源，從而在最大程度上減輕惡意行為者的影響，并避免團隊之間的摩擦。
?

軟件供應鏈安全管理平臺 SEAL 0.3 已將 CVSS 評分和 EPSS 結合起來，并借助 SSVC 漏洞評估模型，對漏洞優先級進行科學排序，幫助企業用戶將有限的資源投入到更關鍵的漏洞修復上，充分降低企業風險。此外，SEAL 是國內首個全鏈路軟件供應鏈安全管理平臺，可以為企業提供全鏈路的安全掃描和全局洞察，幫助企業充分掌握軟件供應鏈安全狀況以及對其進行資產管理。
?

參考鏈接：
https://insights.sei.cmu.edu/blog/probably-dont-rely-on-epss-yet/

總結

以上是生活随笔為你收集整理的EPSS 解读：与 CVSS 相比，孰美？的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。