漏洞评分哪家强,EPSS比CVSS更好吗?
近年来,漏洞发现的速度和数量不断提升,2021年平均每天发现55个漏洞,但其中只有很少一部分对企业构成较高风险。因此,漏洞修复优先级排序能力对于企业IT安全人员来说至关重要,甚至超过了漏洞修复能力。
通用漏洞扫描系统(CVSS)是全球最常被引用的安全漏洞严重性评分系统。然而,越来越多的人开始批评它并不能准确评估漏洞的真实风险,也无法用于确定修复优先级。甚至一些安全研究人员发现社交传播数据统计(例如twitter曝光率)都能比CVSS更准确地反应漏洞的可利用性。
因此,很多安全人士开始呼吁使用漏洞利用预测评分系统(EPSS),或将EPSS与CVSS结合起来提高漏洞指标的可操作性和效率。与CVSS一样,EPSS同样归事件响应和安全团队论坛(FIRST)管理。
EPSS的定义
EPSS(漏洞利用预测评分系统)利用CVE信息和真实世界的攻击数据来预测“是否以及何时”漏洞会被利用。其优点是开放性和数据驱动的方法,宣称能更好地评估漏洞野外利用的可能性。EPSS也有一个特殊兴趣小组(SIG)提供支持并向公众开放,供那些有兴趣参与这项工作的人使用。
相比之下,CVSS的漏洞严重性评估则侧重于漏洞的固有特征,并不能反映漏洞被利用的可能性,而后者对于漏洞管理专业人员来说是确定漏洞修复和缓解工作优先级的关键信息。
EPSS由研究人员、安全从业人员、学者和政府人员自愿推动和领导。FIRST拥有在组织认为合适的情况下更新模型和相关指南的权利。该小组拥有来自RAND、Cyentia、Virginia Tech和Kenna Security等组织的主席和创作者,以及来自其他各种组织的众多成员。
EPSS有几篇相关论文深入探讨了相关主题,例如攻击预测、漏洞建模和披露以及软件利用。在其中一篇文章中,Kenna Security联合创始人兼首席技术官Ed Bellis宣称:“在最小化可利用性方面,利用代码对漏洞进行优先排序比CVSS有效11倍。”
EPSS的模型
EPSS旨在帮助安全从业者及其组织改进漏洞优先级排序工作。当今数字环境中的漏洞数量呈指数增长,同时,由于社会数字化程度不断提高、数字产品安全审核增加以及漏洞研究和报告能力的提高等因素,这一数字还在不断增加。
EPSS声称,组织通常每月只能修复5%到20%的已发布漏洞。只有不到10%的已发布漏洞会在野外被利用。长期存在的安全人才短缺问题也不容忽视,根据ISC2网络安全人才研究报告,全球网络安全专业人才缺口已经超过200万。上述因素意味着企业必须采取效率更高的方法来对高风险漏洞进行优先级排序,避免浪费有限的资源和时间。
今天,许多组织规定必须修复达到或超过特定CVSS分数(例如7)的漏洞。但是,仅根据CVSS分数来确定漏洞修复的优先级,而不是根据已知漏洞是否被利用来确定漏洞修复的优先级已经被广泛证明准确性和效率很低。
EPSS宣称将EPSS与CVSS相结合会更有效,因为这种方法会根据漏洞的严重等级以及漏洞是否被积极利用来综合评定漏洞的优先级。这使组织能够集中精力解决对组织构成最大风险的CVE。
EPSS团队还发布了很多数据证明将CVSS与EPSS评分数据结合使用的方法比单纯使用CVSS有效得多,能够大大提高漏洞修复的效率。
EPSS模型的原理是通过生成漏洞未来30天内被利用的概率分数来进行可利用性预测,分数范围在0和1或0%和100%之间。为了提供这些分数和预测,EPSS使用来自MITRE CVE列表等来源的数据、一些CVE数据(例如自发布以来的天数)以及来自AlienVault和Fortinet等安全供应商的漏洞野外利用活动的观察结果。
EPSS重点两个核心指标——效率和覆盖率。效率指标评估组织解决已修复漏洞的百分比。EPSS指出,组织将大部分资源用于修复已知被利用漏洞的效率远高于修复根据CVSS严重性评分筛选出来的“随机漏洞”。覆盖率则是指已修复的已利用漏洞的百分比。
为了证明其方法的效率,EPSS在2021年进行了一项为期30天的研究,对比评估了CVSS v3基本分数与EPSS v1和EPSS v2数据,用以确定CVE总数、修复的CVE数量和被利用的CVE数量。
研究表明,大多数CVE都没有得到修复。其次,修复的被利用CVE数量只是修复的CVE总数的一个子集。这意味着企业一般只会修复一小部分已发布CVE,但在被(优先)修补的这一小部分CVE中,许多CVE其实并没有被积极利用,也可能并不构成高风险。
该研究还表明,EPSS v2通过最大化已修复已利用漏洞的百分比,大大提高了漏洞修复工作的效率。当组织普遍面临网络安全人才短缺等资源挑战时,通过将资源集中在对组织构成最大风险的漏洞上来最大化投资回报至关重要。EPSS显然更有助于帮助组织更有效地利用有限资源提高漏洞管理效率。
EPSS的缺点
与CVSS类似,EPSS也遭到来自企业界和学术界的批评。卡内基梅隆大学软件工程学院的博客发表过一篇名为“目前最好别依赖EPSS“的文章
(https://insights.sei.cmu.edu/blog/probably-dont-rely-on-epss-yet/)。
文章提出的主要批评了EPSS的不透明性及其数据(依赖)和输出问题,指出EPSS的开发流程、治理和目标受众模糊。
EPSS依赖预先存在的CVE ID,这意味着它对软件供应商、事件响应团队或漏洞赏金猎人并没有什么帮助,因为他们处理的许多漏洞还没有CVE ID,有些甚至永远不会。同样,EPSS对处理零日漏洞也没有任何帮助,因为后者随着利用的进行才具备可见性并且没有CVE ID。
文章还对EPSS的公开性和透明度表示担忧。虽然EPSS自称是一个开放和数据驱动的项目,并拥有一个公开的特殊兴趣小组,但它和FIRST保留随时更改站点和模型的权利,且无需做出任何解释。甚至,即使是SIG成员也无法访问底层EPSS模型使用的代码或数据,对模型的监督或治理也无从谈起。EPSS更新或修改模型的过程对特殊兴趣小组和公众都不透明。文章指出,EPSS的模型和数据可以从公共领域撤回,因为它由FIRST管辖和管理。
文章指出,EPSS关注的是漏洞在未来30天内被利用的可能性,但这种预测依赖一些基本信息,这包括NVD中现有的CVE ID以及关联的CVSS v3向量值、与CVE ID的主动尝试利用相关的IDS签名、来自AlienVault或Fortinet的贡献。
正如文章作者所指出的,只有10%的CVE ID漏洞附带IDS签名,这意味着90%的CVE ID漏洞存在被利用而未被发现的可能。
最后,EPSS在IDS传感器和相关数据获取方面容易对Fortinet和AlienVault产生依赖性。通过更广泛的安全供应商社区的进一步参与,可以在一定程度上缓解这种情况。虽然来自Fortinet和AlienVault的数据很有用,但并不能反映全部威胁态势,也不能取代有助于分析漏洞利用概率的其他主要安全供应商的观点。
虽然以上都是非常中肯的批评,但不可否认的是,通过优先关注最有可能被利用的漏洞,提高漏洞管理效率并降低安全风险,EPSS给资源有限的企业带来了一线曙光,有望大大减少安全团队与开发团队的摩擦。
