DEVSECOPS_WEEKLY Telegram 1194
tgoop.com » United States » DevSecOps Talks » Telegram web » Post 1194
DevSecOps Talks
EPSS.pdf
669.4 KB
Так ли хороша EPSS на самом деле?

Всем привет!

Любая информация, которая может быть использована для понимания «актуальности» уязвимости крайне важна. Она помогает понять на что стоит обращать внимание при разборе тысяч срабатываний, которые генерируются сканерами.

CVSS хоть и удобна, но не сильно упрощает жизнь: все-равно количество Critical и High уязвимостей просто колоссально. Не говоря уже о том, что и «Medium может выстрелить».

Поэтому специалисты продолжают искать пути как правильно с этим работать. Например, анализ достижимости (reachability analysis) может сильно упростить жизнь для отсева ложных срабатываний.

Кто-то добавляет контекст организации: информацию о реализованных защитных мерах, которые, в том числе, влияют на итоговую оценку степени критичности уязвимости.

Еще одним инструментом является Exploit Prediction Scoring System (EPSS). Если просто, то она позволяет предсказывать вероятность того, что та или иная уязвимость будет проэксплуатирована в течение некоторого временного промежутка.

И вроде бы все отлично и ее хочется использовать при анализе уязвимостей, но есть вопрос: а хорошо ли она работает на самом деле?

Для ответа на него рекомендуем ознакомиться с исследованием в приложении (~ 13 страниц).

В нем содержится информация:
🍭 Общие сведения о CVE, CVSS, EPSS, базе CISA KEV и о том, как связаны эти понятия
🍭 Верхнеуровневый взгляд на модель EPSS v3
🍭 Аналитика того, насколько точны предсказания EPSS на примере нескольких CVE
🍭 Общие выводы

Из основных нюансов можно выделить то, что EPSS – закрытая модель и не до конца понятно какие именно параметры она учитывает. Про часть из них написано в исследовании. Остальное – черный ящик.

Второй заключается в том, что по мнению Автора EPSS больше походит не на модель «предсказания», а на «историческую» модель, в которой отражена информация об эксплуатации уязвимости.

В любом случае это не делает ее непригодной для работы, ведь любая информация, которая может помочь важна. Но слепо доверять ей кажется не совсем верным.

А что вы думаете по этому поводу?

P.S. В статье проанализирована EPSS v3. 17 марта 2025 года была выпущена EPSS v4
www.tgoop.com/devsecops_weekly/1194
3.0K views



tgoop.com/devsecops_weekly/1194
Create:
Last Update:

Так ли хороша EPSS на самом деле?

Всем привет!

Любая информация, которая может быть использована для понимания «актуальности» уязвимости крайне важна. Она помогает понять на что стоит обращать внимание при разборе тысяч срабатываний, которые генерируются сканерами.

CVSS хоть и удобна, но не сильно упрощает жизнь: все-равно количество Critical и High уязвимостей просто колоссально. Не говоря уже о том, что и «Medium может выстрелить».

Поэтому специалисты продолжают искать пути как правильно с этим работать. Например, анализ достижимости (reachability analysis) может сильно упростить жизнь для отсева ложных срабатываний.

Кто-то добавляет контекст организации: информацию о реализованных защитных мерах, которые, в том числе, влияют на итоговую оценку степени критичности уязвимости.

Еще одним инструментом является Exploit Prediction Scoring System (EPSS). Если просто, то она позволяет предсказывать вероятность того, что та или иная уязвимость будет проэксплуатирована в течение некоторого временного промежутка.

И вроде бы все отлично и ее хочется использовать при анализе уязвимостей, но есть вопрос: а хорошо ли она работает на самом деле?

Для ответа на него рекомендуем ознакомиться с исследованием в приложении (~ 13 страниц).

В нем содержится информация:
🍭 Общие сведения о CVE, CVSS, EPSS, базе CISA KEV и о том, как связаны эти понятия
🍭 Верхнеуровневый взгляд на модель EPSS v3
🍭 Аналитика того, насколько точны предсказания EPSS на примере нескольких CVE
🍭 Общие выводы

Из основных нюансов можно выделить то, что EPSS – закрытая модель и не до конца понятно какие именно параметры она учитывает. Про часть из них написано в исследовании. Остальное – черный ящик.

Второй заключается в том, что по мнению Автора EPSS больше походит не на модель «предсказания», а на «историческую» модель, в которой отражена информация об эксплуатации уязвимости.

В любом случае это не делает ее непригодной для работы, ведь любая информация, которая может помочь важна. Но слепо доверять ей кажется не совсем верным.

А что вы думаете по этому поводу?

P.S. В статье проанализирована EPSS v3. 17 марта 2025 года была выпущена EPSS v4

BY DevSecOps Talks


Share with your friend now:
tgoop.com/devsecops_weekly/1194

View MORE
Open in Telegram


Telegram News

Date: |

Matt Hussey, editorial director of NEAR Protocol (and former editor-in-chief of Decrypt) responded to the news of the Telegram group with “#meIRL.” How to Create a Private or Public Channel on Telegram? Informative Your posting frequency depends on the topic of your channel. If you have a news channel, it’s OK to publish new content every day (or even every hour). For other industries, stick with 2-3 large posts a week. Done! Now you’re the proud owner of a Telegram channel. The next step is to set up and customize your channel.
from us


Так ли хороша EPSS на самом деле?

 DevSecOps Talks TG
web: 1194
DevSecOps Talks.Telegram web
DevSecOps Talks Telegram TG Channel
Telegram Updated:
Telegram DevSecOps Talks
FROM American