Система EPSS позволит организациям определять, может ли уязвимость эксплуатироваться в атаках и нужно ли действительно ее исправлять.
Как известно, неуязвимых систем не бывает. Ежегодно идентификаторы CVE присваиваются тысячам обнаруженных уязвимостей, и следить за каждой новой практически не реально. Как понять, какие из них компаниям следует исправлять в первую очередь, а с какими можно повременить, пытались разобраться специалисты на конференции Black Hat USA, проходившей на прошлой неделе в Лас-Вегасе.
Эксперты компании Kenna Security Майкл Ройтман (Michael Roytman) и компании Cyentia Institute Джей Джейкобс (Jay Jacobs) назвали управление уязвимостями «злостной проблемой», поскольку оно не соизмеримо с количеством обнаруживаемых уязвимостей. По их словам, каждый месяц исправляется всего 10% от всех уязвимостей. Их слишком много, чтобы компании могли исправить все, поэтому необходимо разработать стратегию, которая решила бы эту проблему, считают специалисты.
Новая стратегия должна помочь организациям разобраться, какие уязвимости действительно необходимо исправлять. Теоретически, в этом должна помочь система оценки CVSS – чем выше оценка, тем серьезнее проблема. Тем не менее, все уязвимости, получившие 7 и выше баллов согласно CVSS, считаются критическими. Таких «критических» уязвимостей все равно слишком много и понять, какие из них должны быть в приоритете, невозможно. «CVSS просто DoS-ит ваши политики установки патчей и заставляет бросать деньги на ветер», - отметили Ройтман и Джейкобс.
По словам исследователей, только 2-5% от всех критических уязвимостей действительно эксплуатируются в реальных атаках. Поэтому нужно создать систему оценки опасности уязвимостей, которая принимала бы в учет потенциальную возможность их эксплуатации на практике.
Такой системой может стать Exploit Prediction Scoring System (EPSS), представленная Ройтманом и Джейкобсом на Black Hat USA. Для определения возможности реальной эксплуатации уязвимости EPSS использует более десятка критериев. Сюда входит CVE, оценка CVSS, наличие PoC-эксплоитов и эксплоитов, используемых киберпреступниками, операционная система, вендор и прочие переменные. Учтя все вышеперечисленные критерии, EPSS выдает процент вероятности эксплуатации той или иной уязвимости в реальных атаках.
Исследователи выпустят свою систему в виде как алгоритма для реализации в других продуктах, так и online-калькулятора.
Подробнее: https://www.securitylab.ru/news/500398.php