Out了,还在用CVSS做漏洞优先级?试试EPSS

新闻
1月前

1.前    言


1.1.优先级技术成为漏洞修复矛盾最优解

识别并修复已知软硬件漏洞一直是网络安全防御的一项基础且重要的工作。近年来,随着攻防对抗形势日趋激烈、网络安全监管日趋严格,这一工作的重要性更加凸显。然而,漏洞发布率的不断上升与用户有限的修复能力形成了巨大的矛盾。

  • MITRE CVE在 2023 年发布了 29,451 个新漏洞,2024年39,339个新漏洞,比 2023 年增加了 33.6%。玄猫VKB 2023年收录43,206个新漏洞,2024年收录52,329个新漏洞,增加了21.1%;

1747185511684356.png

  • 根据Cisco Kenna Security、Cyentia等机构对数百家组织互联网暴露漏洞研究结果,发现组织每月漏洞平均修复率仅为15.5%,25%的组织平均每月修复的新公开漏洞不足 6.6%;

由于修复能力有限,合规漏洞、有充分证据表明存在明确威胁的漏洞成为有限修复资源最优先分配的部分。因此,如何排布优先级成为每个试图减少攻击面和合规压力的组织长期且严重关注的问题。

1.2.当前漏洞优先级技术分类和问题

优先级划分过程涉及对漏洞进行评分和排名,当前,并不存在一种绝对的优先级评估标准,主要的分类和问题如下:

  • 基于通用漏洞评分系统 (CVSS)。根据漏洞级别高低进行优先级排布。CVSS的基本指标组由NIST大规模分配和分发,该组指标无法适应漏洞公开发布后的持续风险评估,例如漏洞利用或技术细节的发布,动态性和预测能力不足;

  • 特定于供应商如Microsoft(2020)、RedHat(2023)优先级技术。它们虽然已经部分包含漏洞评估中的利用可能性,但适用范围有限;

  • 商业的且不公开可用的如Tenable(2020)、Rapid7(2023),RecordFuture(2023)以及部分漏洞管理平台中的优先级技术。其透明性、权威性受到挑战,应用范围受限;

基于当前优先级技术存在的问题,为改进修复实践,需要一个具备理解、预测和响应新网络威胁的优先级评分系统,可以准确量化野外利用的可能性,能够适应漏洞首次发布后的持续评估。满足依赖它的从业者的要求,能够提供显著的性能改进,同时采用和使用的障碍必须要低,EPSS应运而生。

2.什么是EPSS

EPSS全称为Exploit Prediction Scoring System(漏洞利用预测评分系统)。是由FIRST(Forum of Incident Response and Security Teams)国际网络安全应急论坛组织维护的一个基于机器学习的预测系统。

通过社区和数据驱动的方式,动态评估漏洞在未来30天内被利用的可能性。帮助组织优化漏洞修复的优先级,提高修复效率,减少修复工作量,动态调整修复策略。提高漏洞管理的科学性和透明度,显著提升组织的安全管理水平,使其能够更有效地应对不断变化的威胁环境。

2.1.EPSS v3模型和数据源

EPSS的核心模型基于梯度提升树(Gradient Boosting Trees),特别是XGBoost算法,其高预测性能、高效计算、鲁棒性为EPSS提供了强大支持。经过了v1(2021年)、v2(2022年)到v3(2023年)共三代的发展。在设计理念、评分方法、数据来源、应用场景和实际效果方面得到显著提升。

EPSS v3使用了1,477个独立变量,涵盖研究和学术机构、利用性和威胁模型分析工具、国家级安全漏洞响应与威胁情报、漏洞收录和利用知识库、全球资产测绘平台、漏洞扫描和管理、威胁情报和漏洞分析研究、漏洞奖励平台、恶意软件检测与分析平台、恶意IP和攻击流量情报、端点监控与安全分析平台、全球黑客社区与深网数据、网络钓鱼和社会工程学情报、深度安全分析平台等超过54个数据源。部分数据源列表如下:

1747185902986271.png

2.2.EPSS模型输出结果

EPSS尽管使用了海量的数据源和复杂的模型算法,但其输出的预测结果仅是两个0-1的概率值,使用百分数表示。

  • 绝对概率值(Score):表示某个漏洞在未来30天内被利用的可能性。

  • 百分位数(percentile):绝对概率值在所有漏洞中的相对位置。提供直观的相对风险视角,反映该漏洞的被利用概率高于多少比例的其它漏洞。例如,两个绝对概率值相差不大的漏洞,百分位数为95%的漏洞比百分位数为60%的漏洞更具威胁性,使用户能够快速比较不同漏洞的风险水平。

动态更新

EPSS预测的概率值每天更新,百分位数也会随之动态调整。用户可以根据最新的绝对概率值、百分位数结果,及时调整修复策略。

2.3.EPSS与CVSS对比

EPSS和CVSS在设计理念、评分方法、动态性、修复覆盖率、修复效率、修复工作量、应用场景和实际效果等有较大差异。如下表所示,凸显EPSS在漏洞优先级技术方面的优势。

1747186070439140.png

EPSS v3在修复漏洞方面表现出色,通过高效率、高覆盖率和低修复工作量,显著优于CVSS v3和其他早期版本。其动态调整能力和数据驱动的预测机制使其能够更好地适应快速变化的安全环境,帮助组织优化漏洞修复策略,减少资源浪费,提高安全防护的有效性。

2.4.EPSS的效果和作用

01.优化漏洞修复优先级

  • 核心作用:通过预测漏洞被利用的概率,帮助确定哪些漏洞最有可能被攻击者利用,从而优先修复这些高风险漏洞;

  • 效率提升:EPSS v3的精确率(Precision)达到78.5%,召回率(Recall)达到67.8%,仅需修复3.5%的漏洞即可覆盖大部分高风险漏洞。相比之下,基于CVSS的修复策略需要修复13.7%的漏洞才能达到类似的覆盖率;

  • 资源优化:在有限的资源下,更高效地分配人力和时间,优先处理最有可能被利用的漏洞。

02.动态调整修复策略

  • 实时更新:每天更新,能够根据新信息(如漏洞利用代码的公开、攻击工具的集成、社交媒体讨论等)动态调整评分;

  • 适应性:能够更好地反映漏洞的实际风险,帮助组织及时调整修复优先级,确保修复策略始终基于最新的威胁情报。

03.提高漏洞管理的科学性

  • 数据驱动:基于丰富的数据源和复杂的特征工程,减少了人为因素的干扰,提高了预测的客观性和准确性;

  • 量化风险:预测结果是一个概率值(0到1),提供了更科学的风险评估依据。

04.减少修复工作量

  • 精准修复:通过高精度的预测,减少不必要的修复工作。例如,EPSS v3仅需修复3.5%的漏洞即可达到较高的安全效益,而CVSS v3需要修复13.7%的漏洞才能达到类似的覆盖率;

  • 资源节约:将有限的资源集中在高风险漏洞上,避免浪费时间和精力在低风险漏洞上。

05.增强安全决策的透明度

  • 可解释性:通过SHAP值(SHapley Additive exPlanations)等方法,解释每个特征对预测结果的贡献,帮助安全团队理解模型的决策依据;

  • 透明度:透明度使得安全团队能够更好地向管理层解释修复优先级的决策过程,增强决策的可信度。

06.与现有工具的集成

  • 无缝集成:可通过API免费获取,无缝集成到现有的漏洞管理工具和工作流中;

  • 扩展性:动态性和数据驱动特性使其能够与其他安全工具(如SIEM、SOAR)结合,形成更全面的安全防护体系。

3.EPSS的典型使用场景

3.1.使用EPSS绝对概率值排布修复优先级

假设某组织有10,000个已知漏洞,EPSS预测其中350个漏洞(3.5%)在未来30天内被利用的可能性较高(概率 > 0.5)。当日,这些漏洞的修复策略可以如下:

  • 优先修复:集中资源修复这350个高风险漏洞,确保在有限的时间内降低最大的安全风险;

  • 监控其它漏洞:对于概率较低的漏洞(如 < 0.2),可以暂时搁置,但持续监控其动态变化。

3.2.使用EPSS百分位数排布修复优先级

假设某组织有10,000个已知漏洞,EPSS模型为每个漏洞生成了预测概率。通过计算百分位数,修复策略可以如下:

  • 高风险优先:EPSS的高百分位数漏洞(如90%以上)可以被优先修复,以应对紧急威胁;

  • 制定修复策略:根据百分位数将漏洞分为高、中、低风险组,分别制定不同的修复策略。中等百分位数漏洞(如50%-90%)可以根据资源情况和业务需求进行评估和修复。低百分位数漏洞(如低于50%)可以暂时搁置,但持续监控其动态变化;

  • 资源分配:集中资源修复高百分位数的漏洞,确保在有限的时间和资源下最大化安全效益。

3.3.使用EPSS某个时间段的平均分排布修复优先级

EPSS数值每日动态更新,反映了漏洞的实时风险,为动态调整优先级提供了依据。但优先级的频繁调整可能会给修复人员、流程带来一些复杂性和不确定性。

可以根据每个组织不同的情况,采用某个时间段如月、季度、半年内EPSS绝对概率值、百分位数的平均分,数值相对波动幅度不会很大,作为排布修复优先级的依据。

4.通过玄猫定制化漏洞情报获取EPSS

玄猫定制化漏洞情报(xm.vulinsight.com.cn)已全面集成EPSS数据,并提供EPSS TOP100、半年平均分、历史最高分、历史最低分等视角。用户可通过网页、API接口查看和获取与自己软硬件清单相关的漏洞的EPSS数据,指导并动态调整漏洞修复策略。

1747186851666395.png