CVSS ou EPSS: qual escolher?

Júlia Valim

O Common Vulnerability Scoring System (CVSS) já é reconhecido por diversas empresas para avaliar a gravidade das vulnerabilidades e priorizar as correções. Embora o CVSS forneça uma visão importante sobre o impacto potencial de uma vulnerabilidade, ele não leva em conta dados como a probabilidade de exploração.

Como novas vulnerabilidades são descobertas diariamente, as equipes de segurança não têm tempo – nem orçamento – para focar em falhas que não representarão um risco imediato. Por isso, novos modelos como o Exploit Prediction Scoring System (EPSS) estão surgindo para preencher essa lacuna.

O que é a priorização de vulnerabilidades?

A priorização de vulnerabilidades é o processo de avaliar e classificar falhas de segurança com base no impacto potencial que elas podem ter para uma empresa. O objetivo é ajudar as equipes de segurança a decidir quais vulnerabilidades devem ser corrigidas primeiro, em qual prazo e se elas realmente precisam ser corrigidas.

Como a maioria das equipes de TI não consegue resolver definitivamente todas as vulnerabilidades abertas por mês, priorizar efetivamente é essencial para alocar recursos de forma eficiente. Esse processo garante que os riscos mais críticos sejam mitigados antes que possam ser explorados, ajudando a reduzir a exposição da empresa.

O que é o CVSS?

O Common Vulnerability Scoring System (CVSS) é um sistema padronizado utilizado para classificar a gravidade das vulnerabilidades. Ele gera uma pontuação entre 0 e 10, com base em vários fatores, como a facilidade e os meios técnicos para explorar a vulnerabilidade e as consequências de uma exploração bem-sucedida.

Embora o CVSS ofereça uma base útil para a avaliação da gravidade, ele tem limitações importantes quando usado isoladamente. Uma das principais limitações do CVSS é que ele não leva em conta o cenário atual de ameaças, ou seja, se uma vulnerabilidade está sendo ativamente explorada no mundo real.

Por exemplo, uma vulnerabilidade com um alto CVSS de 9 pode não ser necessariamente mais perigosa do que uma de CVSS 5, se a última está sendo amplamente explorada por cibercriminosos. Portanto, ao utilizar apenas o CVSS, as empresas correm o risco de priorizar as vulnerabilidades de forma ineficiente, sem considerar o contexto real da ameaça.

O que é o EPSS?

O Exploit Prediction Scoring System (EPSS) é um modelo desenvolvido para prever a probabilidade de uma vulnerabilidade ser explorada dentro dos próximos 30 dias. Ao contrário do CVSS, o EPSS leva em conta dados em tempo real, como a atividade de exploração observada em fontes confiáveis, incluindo o National Vulnerability Database (NVD), CISA KEV e Exploit-DB.

Usando aprendizado de máquina, o modelo treina para identificar padrões sutis entre esses dados, permitindo prever a probabilidade de exploração de uma vulnerabilidade.

O EPSS gera uma pontuação entre 0 e 1 (ou 0% a 100%), com pontuações mais altas indicando maior probabilidade de exploração. Isso permite que as equipes de segurança ajustem suas prioridades com base na atividade de exploração real e nos dados de vulnerabilidade mais atualizados.

Como o EPSS otimiza a priorização de vulnerabilidades?

Ao comparar o EPSS com o CVSS, podemos observar que ele oferece uma forma mais eficaz de priorizar vulnerabilidades. Por exemplo, imagine que uma vulnerabilidade com CVSS de 7 ou mais seja priorizada para remediação. Embora o CVSS seja útil para identificar falhas graves, ele não revela quantas dessas falhas realmente foram exploradas em um determinado período.

O EPSS, por outro lado, pode mostrar que uma vulnerabilidade de CVSS 5 tem uma alta probabilidade de exploração nos próximos 30 dias, o que a torna mais urgente do que outras com pontuação mais alta.

A utilização do EPSS permite que as empresas se concentrem em vulnerabilidades que representam um risco real, ajustando suas prioridades de forma mais precisa. Isso reduz o esforço necessário para corrigir vulnerabilidades, pois os times de segurança podem direcionar seus recursos para falhas com maior chance de exploração. Como resultado, a eficiência do processo de remediação aumenta significativamente.

Como escolher entre CVSS e EPSS?

A escolha entre CVSS e EPSS depende das necessidades específicas de uma organização. O CVSS continua sendo valioso como uma ferramenta para obter uma visão geral da gravidade das vulnerabilidades e para conformidade regulatória. No entanto, para uma priorização mais eficaz e alinhada com o cenário de ameaças em tempo real, o EPSS é uma opção muito mais eficiente.

Usando o EPSS, as equipes de segurança podem focar nas vulnerabilidades que têm maior chance de serem exploradas em um futuro próximo, independentemente de sua pontuação CVSS. Isso permite uma abordagem mais proativa e inteligente para a mitigação de riscos, economizando tempo e recursos.

Clique aqui para saber como o Pentest as a Service e outros serviços da Vantico podem te ajudar.

Siga-nos nas redes sociais para acompanhar nossos conteúdos.

7 estágios do ciclo de vida do gerenciamento de vulnerabilidades

7 fatores para analisar ao escolher um fornecedor de Pentest

A importância do Pentest para APIs e como funciona o teste

5 métricas de cibersegurança que você precisa analisar

3 desafios da cibersegurança e como o PTaaS pode ajudar

A importância do pentest para as healthtechs

A evolução do pentest e 3 motivos para investir em segurança cibernética

Segurança de Aplicações

Pessoas

Red Team

Segurança de Redes*

Conheça nossos serviços

Scan de Vulnerabilidades

Gerenciamento de Superfície de Ataque

newsletter

Inside Pentesting 2024 - Tendências e Insights

CVSS ou EPSS: qual escolher?

Júlia Valim

O que é a priorização de vulnerabilidades?

O que é o CVSS?

O que é o EPSS?

Como o EPSS otimiza a priorização de vulnerabilidades?

Como escolher entre CVSS e EPSS?

veja também

Outros conteúdos sobre Segurança Cibernética

Vamos começar algo incrível?

Empresa

Links úteis

Navegue

Conteúdos

WhatsApp

E-mail