São Paulo/SP – Novo sistema (EPSS) de pontuação ajuda empresas a priorizarem a correção de suas vulnerabilidades
*Leonardo Corazza
O EPSS (Exploit Prediction Scoring System) é um sistema de pontuação criado pela FIRST[1] que tem como objetivo estimar a probabilidade de exploração de uma determinada vulnerabilidade, dentro de um período específico, mais precisamente nos próximos 30 dias. Desta forma, o EPSS busca apoiar a priorização das correções de vulnerabilidades de uma organização.
O modelo EPSS calcula uma pontuação de probabilidade entre 0 e 1 (0% e 100%). Quanto maior a pontuação, maior a probabilidade de uma vulnerabilidade ser explorada nos próximos 30 dias.
Este cálculo é determinado por uma centena de variáveis, tais como:
De acordo com as pesquisas e estudos divulgados pela FIRST, fazendo uma estratégia de correção baseada no CVSS v3.1, cerca de 253 vulnerabilidades de cada 1000 encontradas seriam sinalizadas para correção. Já com uma estratégia baseada no EPSS v2, cerca de 47 vulnerabilidades de cada 1000 encontradas seriam sinalizadas para correção.
A imagem abaixo é a linha do tempo da pontuação EPSS para CVE-2021-44228, conhecida como Log4Shell. Observando-a, conseguimos identificar que a primeira pontuação no EPSS foi no dia 11 de dezembro de 2021 era de 35%. Ao longo dos dias, foram identificados novos fatores que fizeram essa porcentagem subir, como por exemplo um exploit publicado no ExploitDB e a adição de um módulo no Metasploit para exploração. No dia 12 de janeiro de 2022, a pontuação do EPSS chegou em 94%.
A utilização do EPSS oferece diversas vantagens para uma organização, tais como:
- Apoio na priorização de vulnerabilidades, baseado na probabilidade de exploração;
- Aumento da eficiência das correções utilizando o mesmo nível de esforço (capacidade de correção da organização);
- Apoio na tomada de decisão, baseada em avaliação de risco.
Atualmente o EPSS está na versão 2 (lançada em fevereiro de 2022) e a pontuação do EPSS é atualizada diariamente e disponibilizada pela FIRST, disponível em https://www.first.org/epss/data_stats.
[1] A FIRST é a principal organização e líder global em resposta a incidentes. Ela promove a cooperação e o compartilhamento de informações relacionados a prevenção de incidentes.
[2] O MITRE é uma base de conhecimento de táticas e técnicas baseada em observação do mundo real.
[3] O CVSS é um padrão utilizado para classificar a gravidade das vulnerabilidades encontradas.
Referências:
https://www.first.org/epss/model
https://www.first.org/epss/articles/log4shell
*Leonardo Corazza é Cyber Security Manager na SAFEWAY
Como podemos Ajudar?
A SAFEWAY é uma empresa de consultoria em Segurança da Informação reconhecida pelos seus clientes por oferecer soluções de alto valor agregado por meio de projetos que atendam integralmente às necessidades do negócio. Em 17 anos de experiência, acumulamos diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte as 100 maiores empresas do Brasil.
Hoje através de 25 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas. A SAFEWAY pode ajudar sua organização com a implementação de uma solução de IA de forma segura. Caso deseje mais informações, entre em contato com nossos especialistas!