「漏洞利用預測計分系統」(Exploit Prediction Scoring System,EPSS)雖有不足之處,但可以與「通用弱點掃描系統」(Common Vulnerability Scanning System,CVSS)相互搭配,有助於改善優先順序與評估弱點風險。
文/Chris Hughes‧譯/Nica
通用弱點掃描系統(CVSS)是評估資安漏洞嚴重性最常被引用的等級評定系統。不過也遭批評不適合評估這些漏洞帶來的風險,以及為這些風險優先順序。基於這個理由,有人呼籲使用漏洞利用預測計分系統(EPSS),或結合 CVSS 與 EPSS,建立更有做為、高效率的弱點指標。EPSS 就像 CVSS,由資安事件應變與資安小組論壇(FIRST)管理。
EPSS 定義
EPSS 對這個開放且資料驅動的成就感到自豪,其工作重點是評估軟體弱點在自然狀況下遭到不當利用的可能性。CVSSSIG 著眼於弱點先天特性,以嚴重性計分做為終結。單就嚴重程度計分無法指出不當利用的可能性,這對弱點管理專家而言是關鍵資訊,他們必須為弱點補救與緩解工作項目排列優先順序,以求最大程度降低對組織風險的影響。
EPSS 關鍵技術委員會(SIG),開放讓有興趣參與這項工作的大眾參與。EPSS 由研究人員、資安從業人員、學術界與政界個人自願推動與領導。儘管採用業界協同合作驅動的方式,但 FIRST 可以、且有實權在組織認為適當的時候更新模型與相關指南。據稱這個小組的主席與創立者來自 RAND、Cyentia、Virginia Tech 與 Kenna Security 這類組織,而眾多成員則來自各方企業組織。EPSS 提供許多深入探討攻擊預測、弱點模型建立與揭露,以及軟體不當利用相關主題的文件。
EPSS 模型
EPSS 旨在協助資安從業人員及其企業組織改善弱點優先權排列的任務。時下數位版圖的弱點數量呈指數成長,數字增加是由於系統與社交不斷數位化、數位產品徹底檢查程度加深,與研究及報告能力提升等因素。
EPSS 聲稱,企業組織每個月通常只能修復 5% 至 20% 的漏洞。不到 10% 已發佈弱點已知遭不當利用。長期以來的人力問題也是問題之一,以年度 ISC2 資安人力調查(Cybersecurity Workforce Study)為例,報告指出全球資安專業人才的人力短缺超過兩百萬。這些因素,致使企業組織有必要有套一致且有效的方式,協助對這些令企業組織曝露在最高風險下的弱點排列優先順序,避免浪費有限的資源與時間。
EPSS 致力於針對可能在三十天內遭不當利用的弱點,產生可能性計分,分數範圍界於 0 與 1 或 0% 到 100% 之間。EPSS 使用來自 MITRE CVE 清單這類資源的資料、發佈後天數這類 CVE 資料,與來自 AlienVault 與 Fortinet 相關資安廠商對坊間弱點利用活動的觀察,提供計分與預測。
EPSS 團隊發佈了支持使用 CVSS 分數伴隨 EPSS 計分資料的處理方式能帶來更有效的弱點修補成果的相關資料。例如,許多企業組織強制規定具特定或更高 CVSS 分數(例如 7 或更高)的弱點必須修補。然而,這個必須優先修補的弱點,僅以 CVSS 分數為基礎,而不是弱點已知是或否遭到不當利用。EPSS 與 CVSS 配對會更有效,因為優先考慮的弱點是以它們的嚴重性等級,與是否它們已知被積極不當利用兩者為基礎。這可以讓企業組織處理帶來最大風險的 CVE。
[ 推薦閱讀:支援軟體供應鏈安全所需的 10 大類別安全工具 ]
EPSS 重點為兩個核心指標:效率與覆蓋率。效率是檢查企業組織利用資源解決已修復弱點的百分比程度。EPSS 指出,企業組織將大部份資源花費在修補最知名的不當利用弱點,而非僅以 CVSS 嚴重性分數為基礎的隨機弱點,會更有效率。覆蓋率考量則為已修復不當利用弱點的百分比。
為展示其提出方式的效率,EPSS 在 2021 年進行研究,評估 CVSS v3 基礎分數與 EPSS v1 及 EPSS v2 資料,在三十天內確認 CVE 總數、已緩解 CVE 數及已遭利用 CVE 數。
初期,研究顯示大部份 CVE 沒有修復。再者,已修復但遭不當利用 CVE 數,僅為整體已修復 CVE 的子集。這代表企業組織並未修復大部份 CVE,而修復的那些,有許多未被積極不當利用,且可能不會曝露最大風險。
該研究也證明 EPSS v2 透過將已修復不當利用弱點的百分比最大化,進一步改善弱點修復工作效率。當企業組織的資安從業人員資源是項挑戰,那麼將握有的資源集中在令企業組織曝露最大風險的弱點上,最大化投資報酬率就非常重要。終究,EPSS 試圖協助企業組織更有效率使用有限資源,並提升資源降低組織風險的有效性。
EPSS 缺陷
就像 CVSS 一樣,EPSS 亦遭受業界與學術界批評:來自卡麥隆大學軟體工程學院部落格的文章「Probably Don’t Rely on EPSS Yet 」。這個軟體工程學院最初發表文章名為「Towards Improving CVSS」,對 CVSS 嚴厲批判,該文發布不久,EPSS 就誕生了。
該篇文章主要針對 EPSS 的透明度與其資料與輸出問題提出批評,文章內容探討 EPSS 對開發程序、治理的要求,及其預期受眾的不清楚之處。EPSS 仰賴已經存在的 CVE ID,意即它對軟體供應商、事件應變團隊,或漏洞回報獎勵機制這些實體團體而言沒有幫助,因為這些團體處理的漏洞多半都還沒有 CVE ID,而且可能永遠不會有。EPSS 對處理零時差漏洞亦無幫助,因為它們獲得能見度時不當利用正在發生,而且沒有 CVE ID。
部落格作者也對 EPSS 的開放性與透明度提出疑慮。雖然 EPSS 號稱本身是開放且以資料驅動的工作項目,還具有公開 SIG,但它與 FIRST 皆保留任何時候對網站與模型變更的權利,且無須解釋。SIG 成員甚至無權存取底層 EPSS 模型使用的程式或資料。SIG 本身沒有模型監督權與治理權,模型更新或修改程序不向大眾公開,更別說 SIG 成員。該文指出 EPSS 模型與資料由 FIRST 治理與管控,因此也可以從公眾領域撤回。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
文章指出,EPSS 重點在於弱點在接下來三十天內被不當利用的機率,但這需要一些基本因素存在才能規劃,包括 NVD 裡現有 CVE ID 伴隨相關 CVSS v3 向量值、主動嘗試的 CVE ID 不當利用相關 IDE 簽章、來自 AlienVault 或 Fortinet 的貢獻,以及模型本身與接下來三十天繫結。
如作者所言,僅 10% 弱點帶有伴隨 IDS 簽章的 CVE ID,意即有 90% 帶有 CVE ID 的弱點未被偵測出來遭不當利用。這也產生 IDS 感測器與相關資料對 Fortinet 與 AlienVault 的依賴。進一步讓更廣泛的資安廠商社群參與就能有所緩解。雖然來自 Fortinet 與 AlienVault 的資料很有幫助,但它無法代表整體威脅版圖,或可以貢獻弱點不當利用機率的其他重要資安廠商觀點。
雖然這些都是有根據的評論,但使用 EPSS 還是可以讓企業組織有機會充份利用稀少的資安資源降低組織風險。專注在不當利用可能性最高的弱點上,讓企業組織得以投資在最有可能減少惡意行為者、減少與開發團隊磨擦之處。
(本文授權非營利轉載,請註明出處:CIO Taiwan)
