A antecipação de incidentes de segurança cibernética é complexa. Começa com a identificação de vulnerabilidades em seu ambiente de missão crítica e, em seguida, a atenuação delas com base na probabilidade de exploração. Porém, a complexidade surge em como prever a possibilidade de exploração e quais fatores avaliar. Tradicionalmente, as equipes de segurança utilizam o Common Vulnerability Scoring System (CVSS) para determinar quais CVEs (Common Vulnerabilities and Exposures, vulnerabilidades e exposições comuns) devem ser priorizadas em seu ambiente. No entanto, esse sistema tem enfrentado muitas críticas em relação à sua complexidade, imprecisão e mau uso geral, pois as pontuações tendem a ser ineficazes para permitir que as equipes identifiquem e atenuem as CVEs mais perigosas para suas organizações. Isso levou ao surgimento do Exploit Prediction Scoring System (EPSS), cujo objetivo é agregar mais valor à pontuação de risco. Ao longo deste blog, detalharemos os prós e contras do EPSS e como ele pode ser aproveitado para priorizar as vulnerabilidades de forma eficaz e eficiente, sem sobrecarregar sua equipe, que já está sobrecarregada.
O que é o Exploit Prediction Scoring System (EPSS)?
O novo Exploit Prediction Scoring System (Sistema de Pontuação de Previsão de Exploração), desenvolvido em 2019, é um modelo de aprendizado de máquina orientado por dados que estima a probabilidade de uma vulnerabilidade de software ser explorada na natureza. O EPSS é governado pelo Fórum de Equipes de Segurança e Resposta a Incidentes (FIRST), que é responsável por vários protocolos de pontuação de vulnerabilidade. O objetivo do FIRST é ajudar os defensores da rede a priorizar melhor seus esforços de correção de vulnerabilidades; em última análise, ajudar a equipe de segurança sobrecarregada a gerenciar seu fluxo interminável de vulnerabilidades.
Como são calculadas as pontuações do EPSS?
A maioria dos padrões do setor é limitada em sua capacidade de avaliar ameaças. O EPSS é capaz de preencher essa lacuna usando informações atuais sobre ameaças do Common Vulnerabilities and Exposures (CVE), uma lista de falhas de segurança divulgadas publicamente e dados de exploração do mundo real. Utilizando essas informações, o modelo EPSS produz uma pontuação de probabilidade entre 0 e 1 (0 e 100%). Quanto maior for a pontuação de probabilidade, maior será a probabilidade de uma vulnerabilidade ser explorada. A maioria dos padrões do setor, por outro lado, como o modelo CVSS, concentra-se na característica inerente de uma vulnerabilidade para determinar sua gravidade. A seguir, discutiremos as principais diferenças e os benefícios distintos da utilização do EPSS em relação ao CVSS.
Qual é a diferença entre o EPSS e o CVSS?
Desenvolvido pelo National Infrastructure Advisory Council (NIAC), o Common Vulnerability Scoring System (CVSS) foi projetado para promover um entendimento comum das vulnerabilidades e de seu impacto. Isso é feito fornecendo ao usuário final uma pontuação composta que representa a gravidade geral e o risco que uma vulnerabilidade representa. As pontuações do CVSS são comumente usadas para calcular a gravidade das vulnerabilidades descobertas em um ambiente e como um fator de priorização das atividades de correção de vulnerabilidades. Embora seja uma das ferramentas mais usadas para avaliar o risco, o CVSS não é uma medida de risco e, portanto, pode ser mal utilizado na maneira como as equipes de segurança interpretam e aplicam as pontuações. Isso fez com que várias críticas fossem feitas ao sistema. Algumas dessas críticas incluem:
As vulnerabilidades em ambientes operacionais tendem a ser classificadas como muito altas devido ao fato de que sua complexidade pode dificultar a exploração das vulnerabilidades, levando a imprecisões na pontuação.
A forma como uma vulnerabilidade pode ser afetada por variações organizacionais e ambientais não é levada em conta, o que leva a falsos positivos na priorização de vulnerabilidades.
O risco da cadeia de suprimentos não é levado em conta
Sem considerar fatores contextuais importantes, é difícil que as vulnerabilidades identificadas com o CVSS sejam consideradas relevantes e acionáveis. O EPSS, por outro lado, é um modelo de aprendizado de máquina treinado com base em dados de exploração do mundo real e atualizado diariamente com base nos dados coletados em tempo real. Ele obtém dados de várias fontes, contabilizando mais de 1.100 variáveis, e anexa métricas mensuráveis aos perfis de vulnerabilidade, permitindo que as equipes de segurança tratem melhor os problemas do sistema. Essencialmente, o EPSS permite que as equipes priorizem as vulnerabilidades mais urgentes, fornecendo informações sobre ameaças e uma compreensão probabilística das ameaças, enquanto o CVSS indica o grau de perigo que uma determinada vulnerabilidade pode representar se for explorada. Devido ao foco do EPSS na priorização de vulnerabilidades que vai além da previsão da gravidade do incidente, essa metodologia é mais adequada para permitir que as equipes identifiquem e atenuem os CVEs mais perigosos para suas organizações.
A solução para a priorização de vulnerabilidades de CPS
Tradicionalmente, as soluções padrão e a sabedoria convencional orientam a priorização de vulnerabilidades com base nas pontuações de gravidade do CVSS v3, e não com base na probabilidade de exploração. Isso fez com que a equipe responsável pelo gerenciamento das vulnerabilidades dos sistemas ciberfísicos (CPS), muitas vezes já sobrecarregada, gastasse recursos priorizando aquelas que são ou nunca serão exploradas. De acordo com os resultados de um estudo de terceiros, a priorização orientada pelo CVSS v3 tem uma taxa de cobertura média de 82,4%. Isso significa que a equipe de segurança média que usa as pontuações CVSS v3 de "alto" ou "crítico" como limite de correção priorizará 82,4% - e ignorará 17,6% - das vulnerabilidades exploradas ativamente em seu ambiente. Para evitar o desperdício de recursos na priorização de vulnerabilidades que nunca serão exploradas, as organizações devem se concentrar em encontrar uma solução que facilite o foco nas vulnerabilidades que são ou que provavelmente serão exploradas com base nos últimos indicadores de explorabilidade atuais e previstos.
Em Claroty, entendemos que medir a gravidade de qualquer vulnerabilidade pode ser uma tarefa incrivelmente difícil, e é por isso que introduzimos novos aprimoramentos em nossos recursos de gerenciamento de exposição . Nossa oferta de gerenciamento de exposição prioriza automaticamente as vulnerabilidades com base na probabilidade de exploração, utilizando o catálogo Known Exploited Vulnerabilities (KEV) e o EPSS. A combinação dos pontos de dados de ambas as fontes permite que nossos clientes obtenham visibilidade total do estado atual e provável de curto prazo das vulnerabilidades que representam o maior risco para seu ambiente. Como resultado, as equipes de segurança podem priorizar de forma 11 vezes mais eficiente as vulnerabilidades que os agentes de ameaças têm maior probabilidade de aproveitar, além de estarem mais capacitadas para tomar as melhores decisões quando se trata de proteger seus ativos mais importantes. Como sabemos, cada ambiente de CPS é único, e é por isso que o Claroty oferece a seus clientes a capacidade de quantificar a postura de risco de CPS no contexto real de seus negócios.
1 https://arxiv.org/pdf/2302.14172.pdf
