EPSS mostra forte desempenho na previsão de explorações, diz estudo do Cyentia e FIRST

O número de CVEs publicados anualmente continua crescendo, o que significa que é cada vez mais crucial prever quais deles exigem a atenção das equipes de gerenciamento de vulnerabilidades. Uma nova pesquisa do Cyentia Institute e do Forum of Incident Response and Security Teams (FIRST) descobriu que o sistema de pontuação do Exploit Prediction Scoring System (EPSS) é uma contribuição útil para ajudar as equipes a tomar decisões mais informadas sobre a priorização de vulnerabilidades.

A extensa pesquisa teve como objetivo explorar o momento, a prevalência e o volume da atividade de exploração, além de coletar e analisar feedback sobre o desempenho do EPSS. O resultado desse esforço é o relatório inaugural, A Visual Exploration of Exploitation in the Wild. Ele fornece pontos de dados e análises que beneficiarão a grande e crescente comunidade de usuários empresariais e produtos de segurança que utilizam o EPSS. Nesta série de duas postagens do blog, exploraremos algumas das principais descobertas e percepções da pesquisa. A primeira parte responderá às seguintes perguntas:

• Qual proporção de vulnerabilidades foi explorada?
• Qual é o padrão típico de atividade de exploração?
• Quão disseminada é a exploração entre organizações?
• Como é o desempenho do EPSS de prever explorações?

Qual proporção de vulnerabilidades foi explorada?

Acredite ou não, estamos nos aproximando de um quarto de milhão de CVEs publicados, e esse número cresceu a uma taxa de 16% nos últimos sete anos. Ninguém tem tempo ou recursos para lidar com todas essas vulnerabilidades, o que torna muito importante identificar e priorizar as mais importantes. Uma etapa crítica nos esforços de priorização é rastrear e prever quantas vulnerabilidades são exploradas. 

Na Figura 1, você pode ver o acúmulo de 13.807 CVEs com atividade de exploração ao longo do tempo no gráfico à esquerda, o que indica que o número de vulnerabilidades exploradas conhecidas está se aproximando sistematicamente de 15.000. No gráfico à direita, você pode ver o número como uma porcentagem de CVEs publicados ao longo do tempo, o que indica que cerca de 6% de todos os CVEs publicados foram explorados, e essa taxa está se mantendo estável. 

Figura 1: Vulnerabilidades com atividade de exploração 

Qual é o padrão típico de atividade de exploração?

Agora, vamos dar uma olhada no padrão típico de uma atividade de exploração. Mas isso não existe! 

A Figura 2 mostra a atividade de exploração de cinco CVEs diferentes ao longo de 2023. Cada um deles tem uma atividade de exploração única:

• O primeiro CVE passou por uma exploração de vida curta e muito escassa.
• A segundo CVE teve atividade bastante regular durante a semana. 
• O terceiro CVE sofreu tentativas de exploração diárias a semanais, com um pico em meados de dezembro. 
• O quarto CVE mostrou uma exploração diária sustentada que foi particularmente alta no primeiro e segundo trimestres. 
• E o CVE final demonstrou uma taxa extremamente alta e consistente de atividade de exploração. 

Então, o que tudo isso significa? Bem, a exploração ocorre em diferentes níveis de intensidade e duração. Seria sensato não tratar "explorado" como uma variável binária, mas sim se aprofundar em outras variáveis, como intensidade e duração, para esforços de priorização.

Figura 2: Disparidade na atividade de uma exploração observada 

Quão disseminada é a exploração entre organizações?

Falando em não tratar "explorado" como uma variável binária, vamos analisar a prevalência de uma exploração observada em uma grande população de mais de 100 mil organizações distribuídas ao redor do mundo. Uma observação surpreendente é que poucas organizações presenciam tentativas de exploração visando uma vulnerabilidade específica. As explorações que atingem mais de 1 em cada 10 organizações são raras (menos de 5%!). Quando as vulnerabilidades são relatadas como exploradas no mundo real, elas geralmente são consideradas exploradas em todos os lugares. No entanto, esse não é o caso e indica que não devemos tratar todos os relatos de exploração da mesma forma.

Figura 3: A prevalência de uma atividade de exploração 

Como é o desempenho do EPSS de prever explorações?

De acordo com o FIRST, o EPSS é um “esforço baseado em dados para estimar a probabilidade de que uma vulnerabilidade de software seja explorada no mundo real”. O EPSS faz uma estimativa diária ao longo dos próximos 30 dias de todos os CVEs conhecidos e fornece uma pontuação de probabilidade que varia de 0 a 1 (ou 0 a 100%), indicando a probabilidade de exploração. 

Conforme observado na Figura 4, cada versão do EPSS demonstrou melhor desempenho em sua capacidade de prever exploração. Três métricas medem o desempenho: 

1. Cobertura: mede a conclusão da priorização da atividade de exploração (% de todas as vulnerabilidades exploradas conhecidas que foram priorizadas corretamente). 
2. Eficiência: mede a precisão das priorizações (% de vulnerabilidades priorizadas para correção que foram realmente exploradas). 
3. Esforço: mede a carga de trabalho geral criada pela estratégia de priorização (% de vulnerabilidades priorizadas de todas as vulnerabilidades). 

Com base na Figura 4, você pode ver que a correção de vulnerabilidades com uma pontuação EPSS de 0,6+ atinge uma cobertura de ~60% com 80% de eficiência, enquanto a correção de vulnerabilidades com uma pontuação EPSS de 0,1+ muda para 80% de cobertura e 50% de eficiência. Cada organização tem sua própria tolerância a riscos, o que afeta as estratégias de priorização. Entender as métricas de cobertura, eficiência e esforço pode ajudar as organizações a tomar decisões mais informadas sobre as estratégias específicas que usam para seus programas de gerenciamento de vulnerabilidades. 

Figure 4: O desempenho do Exploit Prediction Scoring System (EPSS)

Gostou deste conteúdo e quer saber mais?

Para obter mais informações, baixe o relatório completo. Aproveite o suporte do EPSS no Nessus 10.8.0 com uma avaliação gratuita ou adquira uma licença. Não perca a segunda parte desta série de posts!