EPSS para priorização de vulnerabilidades e 3 benefícios

Picture of Kaique Bonato

Kaique Bonato

EPSS - Priorização de vulnerabilidades

Quando uma empresa realiza algum tipo de avaliação ou teste de cibersegurança, muitas vulnerabilidades podem ser encontradas.  

Por mais que, nesse momento, o primeiro instinto seja corrigir todas elas, isso nem sempre é viável, por questões de tempo, falta de pessoas, entre outros fatores. 

A FIRST¹, órgão referência em cibersegurança, afirma que pesquisas² já apontaram que as empresas conseguem mitigar, por mês, apenas de 5% a 20% das vulnerabilidades encontradas.  

Ao mesmo tempo, também foi pontuado que apenas cerca de 2% a 7% dessas vulnerabilidades tem, de fato, probabilidade de serem exploradas. 

Em um contexto como esse, é essencial saber priorizar quais vulnerabilidades serão mitigadas primeiro, e quais serão analisadas em um segundo momento. Uma das formas de fazer isso é através da EPSS. 

O que é EPSS? 

A sigla EPSS representa Exploit Prediction Scoring System, ou Sistema de Pontuação de Previsão de Exploração de Vulnerabilidades, em português. Esse sistema foi criado pela própria FIRST para estimar, entre 0 e 1 (0% e 100%), a probabilidade de exploração de uma vulnerabilidade. 

Quanto mais alto o valor, maiores as chances de a vulnerabilidade ser explorada dentro de um período de 30 dias. 

Esse sistema tem se mostrado muito eficaz para contribuir com a priorização de vulnerabilidades, pois a pontuação é definida com base na união de informações da CVE (Common Vulnerabilities and Exposures) e de dados internacionais. 

Quais são os benefícios? 

Outro sistema de priorização de vulnerabilidades é o Common Vulnerability Scoring System (CVSS)³, ou Sistema de Pontuação de Vulnerabilidades Comuns, sendo um dos mais utilizados. 

Ele analisa as principais características de uma vulnerabilidade e aponta um número que indica sua gravidade, que pode indicar que a amaça é baixa, intermediária, alta ou crítica. 

Entretanto, atualmente o EPSS já tem sido apontado como o principal sistema de priorização de vulnerabilidades. Por quê? 

Análise mais detalhada 

Para chegar a um resultado, o CVSS análise as principais características já conhecidas de uma vulnerabilidade, enquanto o EPSS vai além disso, usando informações dos mais diversos bancos de dados disponíveis. 

Por isso, o EPSS analisa a ameaça com maior detalhamento, fornecendo um resultado mais assertivo. 

Precisão 

Outro ponto é que, apesar de o CVSS classificar a vulnerabilidade, ele não aponta a probabilidade dela ser explorada.  

Caso uma organização tenha se deparado com duas ameaças intermediárias, por exemplo, pode ser que uma delas represente maior risco de exploração do que a outra. 

Com base nessa informação, fornecida pelo EPSS, a empresa será mais assertiva na priorização. 

Grupo de pesquisadores 

O EPSS foi criado em 2019, mas desde então tem sido acompanhado por um grupo de pesquisadores para melhorar sua estrutura e aumentar a base de bancos de dados.  

Com base nas pesquisas, atualmente esse sistema está em sua segunda versão, e já apresenta melhor desempenho do que a terceira versão do CVSS. 

Observe o gráfico abaixo: 

Gráfico EPSS - Priorização de vulnerabilidade

Imagem: Cobertura do EPSS. Fonte: FIRST. 

A métrica de vulnerabilidades representa a quantidade de vulnerabilidades direcionadas para mitigação. Já a eficiência indica a porcentagem de quantas dessas vulnerabilidades sofreram alguma tentativa de exploração. 

Ou seja, o CVSS marcou consideravelmente mais vulnerabilidades para correção (253 entre 1.000), sendo que, dentre elas, apenas uma pequena quantidade (5%) representava grandes probabilidades de ataque. 

Por outro lado, as duas versões do EPSS sinalizavam menos (93 entre 1.000 e 47 entre 1.000) vulnerabilidades para correção e maior eficiência, sendo o modelo atual consideravelmente mais eficaz (42.5%)! 

Dessa forma, podemos concluir que o EPSS apresenta um critério melhor e dados mais precisos para o estabelecimento de prioridades na correção de vulnerabilidades! 

Além do EPSS, ter acesso a uma plataforma e a relatórios completos também é essencial para o processo de priorização de ameaças cibernéticas. Conheça a Vantico e obtenha métricas cibersegurança mais detalhadas e com maior agilidade. Clique aqui e saiba mais! 

 

¹FIRST 

²The EPSS Model 

³Common Vulnerability Scoring System SIG 

 

veja também

Outros conteúdos sobre Segurança Cibernética