Quando uma empresa realiza algum tipo de avaliação ou teste de cibersegurança, muitas vulnerabilidades podem ser encontradas.
Por mais que, nesse momento, o primeiro instinto seja corrigir todas elas, isso nem sempre é viável, por questões de tempo, falta de pessoas, entre outros fatores.
A FIRST¹, órgão referência em cibersegurança, afirma que pesquisas² já apontaram que as empresas conseguem mitigar, por mês, apenas de 5% a 20% das vulnerabilidades encontradas.
Ao mesmo tempo, também foi pontuado que apenas cerca de 2% a 7% dessas vulnerabilidades tem, de fato, probabilidade de serem exploradas.
Em um contexto como esse, é essencial saber priorizar quais vulnerabilidades serão mitigadas primeiro, e quais serão analisadas em um segundo momento. Uma das formas de fazer isso é através da EPSS.
O que é EPSS?
A sigla EPSS representa Exploit Prediction Scoring System, ou Sistema de Pontuação de Previsão de Exploração de Vulnerabilidades, em português. Esse sistema foi criado pela própria FIRST para estimar, entre 0 e 1 (0% e 100%), a probabilidade de exploração de uma vulnerabilidade.
Quanto mais alto o valor, maiores as chances de a vulnerabilidade ser explorada dentro de um período de 30 dias.
Esse sistema tem se mostrado muito eficaz para contribuir com a priorização de vulnerabilidades, pois a pontuação é definida com base na união de informações da CVE (Common Vulnerabilities and Exposures) e de dados internacionais.
Quais são os benefícios?
Outro sistema de priorização de vulnerabilidades é o Common Vulnerability Scoring System (CVSS)³, ou Sistema de Pontuação de Vulnerabilidades Comuns, sendo um dos mais utilizados.
Ele analisa as principais características de uma vulnerabilidade e aponta um número que indica sua gravidade, que pode indicar que a amaça é baixa, intermediária, alta ou crítica.
Entretanto, atualmente o EPSS já tem sido apontado como o principal sistema de priorização de vulnerabilidades. Por quê?
Análise mais detalhada
Para chegar a um resultado, o CVSS análise as principais características já conhecidas de uma vulnerabilidade, enquanto o EPSS vai além disso, usando informações dos mais diversos bancos de dados disponíveis.
Por isso, o EPSS analisa a ameaça com maior detalhamento, fornecendo um resultado mais assertivo.
Precisão
Outro ponto é que, apesar de o CVSS classificar a vulnerabilidade, ele não aponta a probabilidade dela ser explorada.
Caso uma organização tenha se deparado com duas ameaças intermediárias, por exemplo, pode ser que uma delas represente maior risco de exploração do que a outra.
Com base nessa informação, fornecida pelo EPSS, a empresa será mais assertiva na priorização.
Grupo de pesquisadores
O EPSS foi criado em 2019, mas desde então tem sido acompanhado por um grupo de pesquisadores para melhorar sua estrutura e aumentar a base de bancos de dados.
Com base nas pesquisas, atualmente esse sistema está em sua segunda versão, e já apresenta melhor desempenho do que a terceira versão do CVSS.
Observe o gráfico abaixo:
Imagem: Cobertura do EPSS. Fonte: FIRST.
A métrica de vulnerabilidades representa a quantidade de vulnerabilidades direcionadas para mitigação. Já a eficiência indica a porcentagem de quantas dessas vulnerabilidades sofreram alguma tentativa de exploração.
Ou seja, o CVSS marcou consideravelmente mais vulnerabilidades para correção (253 entre 1.000), sendo que, dentre elas, apenas uma pequena quantidade (5%) representava grandes probabilidades de ataque.
Por outro lado, as duas versões do EPSS sinalizavam menos (93 entre 1.000 e 47 entre 1.000) vulnerabilidades para correção e maior eficiência, sendo o modelo atual consideravelmente mais eficaz (42.5%)!
Dessa forma, podemos concluir que o EPSS apresenta um critério melhor e dados mais precisos para o estabelecimento de prioridades na correção de vulnerabilidades!
Além do EPSS, ter acesso a uma plataforma e a relatórios completos também é essencial para o processo de priorização de ameaças cibernéticas. Conheça a Vantico e obtenha métricas cibersegurança mais detalhadas e com maior agilidade. Clique aqui e saiba mais!
³Common Vulnerability Scoring System SIG