21.6 C
Uruguay
sábado, diciembre 3, 2022
InicioCiberseguridadEPSS explicó: ¿Cómo se compara con CVSS?

EPSS explicó: ¿Cómo se compara con CVSS?


El Sistema de Escaneo de Vulnerabilidad Común (CVSS) es el sistema de calificación citado con más frecuencia para evaluar la gravedad de las vulnerabilidades de seguridad. Eso ha sido criticado, sin embargo, como no apropiado para evaluar y priorizar el riesgo de esas vulnerabilidades. Por esta razón, algunos tienen llamó para usar el sistema de puntuación de predicción de exploits (EPSS) o combinar CVSS y EPSS para hacer que las métricas de vulnerabilidad sean más procesables y eficientes. Al igual que CVSS, EPSS se rige por el Foro de Equipos de Seguridad y Respuesta a Incidentes (FIRST).



Definición de EPSS

EPSS se enorgullece de ser un esfuerzo abierto y basado en datos que tiene como objetivo estimar la probabilidad de que una vulnerabilidad de software sea explotada en la naturaleza. CVSS se centra en las características innatas de las vulnerabilidades que culminan en una puntuación de gravedad. La puntuación de gravedad por sí sola no indica una probabilidad de explotación, que es información crítica para los profesionales de gestión de vulnerabilidades que necesitan priorizar sus esfuerzos de remediación y mitigación de vulnerabilidades para maximizar su impacto en la reducción del riesgo organizacional.

EPSS tiene un grupo de interés especial (SIG) que está abierto al público para aquellos interesados ​​en participar en el esfuerzo. EPSS es impulsado por voluntarios y dirigido por investigadores, profesionales de la seguridad, académicos y personal gubernamental. FIRST puede y posee los derechos para actualizar el modelo y la guía asociada según lo crea conveniente la organización, a pesar de este enfoque impulsado por la colaboración de la industria. El grupo cuenta con presidentes y creadores de organizaciones como RAND, Cyentia, Virginia Tech y Kenna Security entre muchos miembros de una variedad de organizaciones. EPSS tiene varios documentos relacionados que se sumergen en temas asociados, como la predicción de ataques, el modelado y la divulgación de vulnerabilidades y la explotación de software.

El modelo EPSS

EPSS tiene como objetivo ayudar a los profesionales de la seguridad y sus organizaciones a mejorar los esfuerzos de priorización de vulnerabilidades. Hay un número exponencialmente creciente de vulnerabilidades en el panorama digital actual y ese número está aumentando debido a factores como la mayor digitalización de los sistemas y la sociedad, el mayor escrutinio de los productos digitales y la mejora de las capacidades de investigación y generación de informes.

Las organizaciones generalmente solo pueden corregir entre el 5% y el 20% de las vulnerabilidades cada mes, afirma EPSS. Se sabe que menos del 10% de las vulnerabilidades publicadas se explotan en la naturaleza. También están en juego cuestiones de mano de obra de larga data, como la anual Estudio de la fuerza laboral de seguridad cibernética ISC2, que muestra una escasez que supera los dos millones de profesionales de la ciberseguridad en todo el mundo. Estos factores justifican que las organizaciones tengan un enfoque coherente y efectivo para ayudar a priorizar las vulnerabilidades que representan el mayor riesgo para su organización para evitar perder tiempo y recursos limitados.

El modelo EPSS tiene como objetivo brindar algún apoyo al producir puntajes de probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días y los puntajes oscilan entre 0 y 1 o 0% y 100%. Para proporcionar estos puntajes y proyecciones, EPSS utiliza datos de fuentes como la lista MITRE CVE, datos sobre CVE, como los días desde la publicación, y observaciones de la actividad de explotación en estado salvaje de proveedores de seguridad como AlienVault y Fortinet.

El equipo de EPSS publicó datos para respaldar su enfoque de usar puntajes de CVSS con datos de puntaje de EPSS para llevar a esfuerzos de remediación de vulnerabilidades más efectivos. Por ejemplo, muchas organizaciones exigen que se corrijan las vulnerabilidades con una puntuación CVSS específica o superior, como 7 o superior. Sin embargo, esto prioriza la remediación de vulnerabilidades basándose únicamente en la puntuación CVSS, no si se sabe que la vulnerabilidad se ha explotado o no. La combinación de EPSS con CVSS es más efectiva porque prioriza las vulnerabilidades según su clasificación de gravedad y si se sabe que se explotan activamente. Esto permite a las organizaciones abordar los CVE que representan el mayor riesgo para la organización.

EPSS se enfoca en dos métricas centrales: eficiencia y cobertura. La eficiencia examina qué tan bien las organizaciones utilizan los recursos para resolver el porcentaje de vulnerabilidades remediadas. EPSS señala que es más eficiente que la mayoría de los recursos de una organización se gasten en remediar vulnerabilidades explotadas en su mayoría conocidas, en lugar de vulnerabilidades aleatorias basadas solo en puntajes de gravedad a través de CVSS. La cobertura es una mirada al porcentaje de vulnerabilidades explotadas que fueron remediadas.

Para mostrar la eficiencia de su enfoque propuesto, EPSS realizó un estudio en 2021 que evaluó las puntuaciones base de CVSS v3 y los datos de EPSS v1 y EPSS v2 durante un período de 30 días para determinar la cantidad total de CVE, la cantidad de CVE remediadas y la cantidad de CVE explotados.

Inicialmente, el estudio mostró que la mayoría de los CVE no se remedian. En segundo lugar, la cantidad de CVE explotados que se remedian es solo un subconjunto del total de CVE remediados. Esto significa que las organizaciones no corrigen la mayoría de los CVE y, entre los que lo hacen, muchos no se conocen activamente por ser explotados y potencialmente no representan el mayor riesgo.




El estudio también demuestra que EPSS v2 mejora aún más la eficiencia de los esfuerzos de remediación de vulnerabilidades al maximizar el porcentaje de vulnerabilidades explotadas que se remedian. Cuando las organizaciones tienen desafíos de recursos con los profesionales de la seguridad cibernética, es crucial maximizar su retorno de la inversión al hacer que los recursos se centren en las vulnerabilidades que representan el mayor riesgo para la organización. En última instancia, EPSS está tratando de ayudar a las organizaciones a hacer un uso más eficiente de sus recursos limitados y mejorar su eficacia para reducir el riesgo organizacional.

Deficiencias de EPSS

Al igual que CVSS, EPSS tiene sus críticos en la industria y la academia. Un artículo titulado Probablemente no confíe en EPSS todavía proviene del blog del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon. SEI publicó originalmente un artículo titulado Hacia la mejora de CVSSque planteó algunas críticas agudas a CVSS, de donde se originó EPSS poco después de la publicación.

Las principales críticas formuladas por el artículo incluyen la opacidad de EPSS, así como problemas con sus datos y resultados. El artículo analiza cómo no está claro cómo EPSS dicta los procesos de desarrollo, la gobernanza o su público objetivo. EPSS se basa en ID de CVE preexistentes, lo que significa que no sería útil para entidades como proveedores de software, equipos de respuesta a incidentes o grupos de recompensas por errores porque muchas de las vulnerabilidades con las que se enfrentan estos grupos aún no tienen ID de CVE y es posible que nunca lo hagan. recibirlos. EPSS no sería útil cuando se trata de vulnerabilidades de día cero, dado que ganan visibilidad a medida que la explotación está en marcha y no tienen ID de CVE.

El autor del blog también plantea preocupaciones sobre la apertura y transparencia de EPSS. Si bien EPSS se autodenomina un esfuerzo abierto y basado en datos y tiene un SIG público, FIRST y él se reservan el derecho de cambiar el sitio y el modelo en cualquier momento sin explicación. Incluso los miembros de SIG no tienen acceso al código o los datos que utiliza el modelo EPSS subyacente. El SIG en sí mismo no supervisa ni gobierna el modelo, y el proceso mediante el cual se actualiza o modifica el modelo no es transparente para el público, y mucho menos para los miembros del SIG. El artículo señala que el modelo EPSS y los datos también podrían retirarse del dominio público dado que FIRST lo rige y administra.

El artículo señala que EPSS se enfoca en la probabilidad de que una vulnerabilidad sea explotada en los próximos 30 días, pero esto requiere que existan algunas cosas fundamentales para que pueda ser proyectado. Incluyen una ID de CVE existente en el NVD con un valor de vector CVSS v3 asociado, una firma de IDS vinculada a un intento activo de explotación de la ID de CVE, la contribución de AlienVault o Fortinet y el propio modelo vinculado a los próximos 30 días.

Como señaló el autor, solo el 10 % de las vulnerabilidades con ID de CVE tienen firmas de IDS que las acompañan, lo que significa que el 90 % de las vulnerabilidades con ID de CVE pueden pasar desapercibidas para su explotación. Esto también crea una dependencia de Fortinet y AlienVault con respecto a los sensores IDS y los datos asociados. Esto podría mitigarse en cierta medida con una mayor participación de la comunidad más amplia de proveedores de seguridad. Si bien los datos de Fortinet y AlienVault son útiles, no representan todo el panorama de amenazas o las perspectivas de los otros proveedores de seguridad importantes que podrían contribuir a la probabilidad de explotación de vulnerabilidades.

Si bien estas son críticas válidas, el uso de EPSS brinda a las organizaciones la oportunidad de aprovechar al máximo sus escasos recursos de seguridad para reducir el riesgo organizacional. Centrarse en las vulnerabilidades con la mayor probabilidad de explotación permite a las organizaciones realizar inversiones que tienen la mayor posibilidad de mitigar los actores maliciosos y minimizar la fricción en los equipos de desarrollo.

Derechos de autor © 2022 IDG Communications, Inc.



Fuente

Anuncios

- Anuncios -
- Anuncios -

Otras Noticias