São Paulo/SP – 18 de agosto de 2023 – Novo sistema (EPSS) de pontuação ajuda empresas a priorizarem a correção de suas vulnerabilidades
*Leonardo Corazza
O EPSS (Exploit Prediction Scoring System) é um sistema de pontuação criado pela FIRST[1] que tem como objetivo estimar a probabilidade de exploração de uma determinada vulnerabilidade, dentro de um período específico, mais precisamente nos próximos 30 dias. Desta forma, o EPSS busca apoiar a priorização das correções de vulnerabilidades de uma organização.
O modelo EPSS calcula uma pontuação de probabilidade entre 0 e 1 (0% e 100%). Quanto maior a pontuação, maior a probabilidade de uma vulnerabilidade ser explorada nos próximos 30 dias.
Este cálculo é determinado por uma centena de variáveis, tais como:
De acordo com as pesquisas e estudos divulgados pela FIRST, fazendo uma estratégia de correção baseada no CVSS v3.1, cerca de 253 vulnerabilidades de cada 1000 encontradas seriam sinalizadas para correção. Já com uma estratégia baseada no EPSS v2, cerca de 47 vulnerabilidades de cada 1000 encontradas seriam sinalizadas para correção.
A imagem abaixo é a linha do tempo da pontuação EPSS para CVE-2021-44228, conhecida como Log4Shell. Observando-a, conseguimos identificar que a primeira pontuação no EPSS foi no dia 11 de dezembro de 2021 era de 35%. Ao longo dos dias, foram identificados novos fatores que fizeram essa porcentagem subir, como por exemplo um exploit publicado no ExploitDB e a adição de um módulo no Metasploit para exploração. No dia 12 de janeiro de 2022, a pontuação do EPSS chegou em 94%.
A utilização do EPSS oferece diversas vantagens para uma organização, tais como:
- Apoio na priorização de vulnerabilidades, baseado na probabilidade de exploração;
- Aumento da eficiência das correções utilizando o mesmo nível de esforço (capacidade de correção da organização);
- Apoio na tomada de decisão, baseada em avaliação de risco.
Atualmente o EPSS está na versão 2 (lançada em fevereiro de 2022) e a pontuação do EPSS é atualizada diariamente e disponibilizada pela FIRST, disponível em https://www.first.org/epss/data_stats.
[1] THE FIRST é a principal organização e líder global em resposta a incidentes. Ela promove a cooperação e o compartilhamento de informações relacionados a prevenção de incidentes.
[2] O MITRE é uma base de conhecimento de táticas e técnicas baseada em observação do mundo real.
[3] O CVSS é um padrão utilizado para classificar a gravidade das vulnerabilidades encontradas.
References:
https://www.first.org/epss/model
https://www.first.org/epss/articles/log4shell
*Leonardo Corazza é Cyber Security Manager na SAFEWAY
How can we help?
SAFEWAY is an Information Security consulting company recognized by its clients for offering high added value solutions through projects that fully meet the needs of the business. In 15 years of experience, we have accumulated several successful projects that have earned us credibility and prominence among our clients, which largely constitute the 100 largest companies in Brazil.
Today through 25 strategic partnerships with global manufacturers and our SOC, SAFEWAY is considered one one stop shopping with the best technology, process and people solutions. SAFEWAY can help your organization with the implementation of an AI solution in a secure way. If you want more information, contact our experts!
