Abordando vulnerabilidades de software con EPSS
Un nuevo sistema para mejorar la puntuación y gestión de vulnerabilidades en las organizaciones.
― 8 minilectura
Tabla de contenidos
A lo largo de los años, el número de Vulnerabilidades de software reportadas ha ido en aumento. A medida que las organizaciones intentan asegurar sus sistemas, enfrentan desafíos significativos para reparar estas vulnerabilidades. Para minimizar el riesgo de ataques, es crucial priorizar cuáles vulnerabilidades necesitan atención inmediata.
Los métodos existentes para puntuar vulnerabilidades a menudo son insuficientes. Muchos de estos sistemas son creados por vendedores específicos, no son accesibles para todos, o dependen de Datos propietarios. Normalmente se enfocan en la severidad de las vulnerabilidades, pero no usan información actualizada que podría predecir mejor la Explotación real.
Para abordar estas brechas, un grupo de expertos de diversas industrias se ha unido para desarrollar un nuevo sistema llamado Sistema de Puntuación de Predicción de Explotación (EPSS). Este sistema usará datos para proporcionar puntuaciones para todas las vulnerabilidades conocidas, y estará disponible de manera gratuita para que cualquier persona lo use. Además, se adaptará a nueva información a medida que esté disponible.
La Necesidad de Mejorar la Gestión de Vulnerabilidades
Las organizaciones están bajo presión constante para manejar vulnerabilidades de manera efectiva. El aumento anual en las vulnerabilidades divulgadas hace que esta tarea sea aún más difícil. Por ejemplo, se reportó un aumento significativo de vulnerabilidades en 2022, lo que complicó aún más que las organizaciones se mantuvieran al día.
Un estudio reciente mostró que muchas empresas luchan por arreglar vulnerabilidades. En promedio, solo un pequeño porcentaje de vulnerabilidades se parchea cada mes. Esta capacidad limitada para abordar vulnerabilidades aumenta el riesgo de explotación y hace que la priorización sea más crítica.
El proceso de priorizar vulnerabilidades generalmente se basa en sistemas de puntuación, como el Sistema Común de Puntuación de Vulnerabilidad (CVSS). Sin embargo, el CVSS tiene limitaciones en su capacidad para adaptarse a nueva información sobre vulnerabilidades después de que se divulgan. Así, un gran número de vulnerabilidades sigue en riesgo, y la necesidad de un mejor sistema de puntuación se hace evidente.
La Iniciativa EPSS
Para mejorar la gestión de vulnerabilidades, el equipo de EPSS formó un Grupo de Interés Especial (SIG) con más de 170 expertos de diversos campos. El objetivo principal es crear un sistema que prediga la probabilidad de que vulnerabilidades sean explotadas en escenarios del mundo real, basado en datos e información de practicantes.
El EPSS comenzó como un pequeño proyecto enfocado en predecir la posibilidad de explotación de vulnerabilidades. Ahora ha crecido hasta convertirse en un estándar reconocido que busca proporcionar puntuaciones precisas y oportunas para vulnerabilidades basadas en datos de explotación del mundo real.
Trabajando con Datos
Los datos utilizados para desarrollar el EPSS provienen de diversas fuentes. Incluye evidencia de actividad de explotación a lo largo de varios años, enfocándose en millones de intentos de explotar vulnerabilidades. Esta información ayuda a construir una base sólida para hacer predicciones sobre qué vulnerabilidades podrían ser explotadas en el futuro cercano.
El equipo de EPSS ha desarrollado un conjunto de datos con más de 190,000 vulnerabilidades publicadas. La información se recopiló a lo largo de un tiempo significativo, permitiendo una comprensión más profunda de cómo se atacan las vulnerabilidades en la realidad.
Evidencia de Explotación
Para determinar si una vulnerabilidad es explotada, el EPSS recopila información de múltiples fuentes confiables. Estas fuentes utilizan diferentes métodos, incluyendo sistemas de detección de intrusos y honeypots, para capturar intentos de explotación de vulnerabilidades.
Una vez que se recopilan los datos, se limpian y estructuran para identificar si hubo alguna actividad de explotación para una vulnerabilidad en particular. Este manejo cuidadoso de datos permite hacer predicciones precisas sobre los riesgos de explotación asociados con cada vulnerabilidad.
Características para Predicción
El EPSS utiliza un gran número de características para predecir la explotación. Las características abarcan una variedad de puntos de datos, incluyendo:
- Código de Explotación Publicado: La existencia de código de explotación disponible públicamente es un fuerte indicador de que una vulnerabilidad está siendo explotada.
- Listas de Vulnerabilidades Públicas: Las vulnerabilidades listadas en catálogos populares tienden a recibir más atención y son más propensas a ser atacadas.
- Menciones en Redes Sociales: Las discusiones sobre vulnerabilidades en plataformas como Twitter pueden significar un creciente interés o preocupación entre los atacantes.
- Herramientas de Seguridad Ofensiva: Las herramientas diseñadas para pruebas de penetración a menudo destacan vulnerabilidades que podrían ser objetivos fáciles para los atacantes.
- Edad de la Vulnerabilidad: Las vulnerabilidades más antiguas pueden volverse menos atractivas para los atacantes a medida que aumenta el conocimiento público sobre ellas y se ponen parches disponibles.
Todas estas características se combinan para mejorar la capacidad de predicción del nuevo sistema.
Mejoras en el Modelo EPSS
La evolución del modelo EPSS ha sido guiada por la retroalimentación de la comunidad de practicantes e investigadores. Inicialmente, se diseñó para ser simple y portátil; sin embargo, las versiones más nuevas han cambiado a un enfoque más centralizado que permite un modelo más complejo y sofisticado.
Desarrollos de la Versión 2 y 3
La segunda versión de EPSS se centró en abordar las limitaciones de la primera versión al ampliar el proceso de recolección de datos y cambiar a una arquitectura centralizada. Este cambio permitió un modelo más complejo utilizando técnicas avanzadas que aprovechan un mayor número de características.
La tercera versión tomó las mejoras de los modelos anteriores y añadió aún más características de diversas fuentes de datos. Esta mejora resultó en un aumento significativo en el rendimiento de predicción en comparación con iteraciones anteriores de EPSS.
Métricas de Rendimiento
La efectividad del sistema EPSS se ha medido utilizando varias métricas de rendimiento. Estas incluyen precisión y exhaustividad, que ayudan a evaluar qué tan bien el modelo puede identificar vulnerabilidades que probablemente serán explotadas.
- Precisión: Esto indica la eficiencia de los recursos. Mide cuántas de las vulnerabilidades que se remediaron fueron realmente explotadas.
- Exhaustividad: Esto mide la cobertura de vulnerabilidades, o cuántas de las explotaciones reales fueron abordadas a través de esfuerzos de Remediación.
Al equilibrar estas dos métricas, las organizaciones pueden priorizar vulnerabilidades de manera más efectiva.
Aplicaciones Prácticas del EPSS
Las organizaciones pueden usar las puntuaciones del EPSS para informar sus estrategias de gestión de vulnerabilidades. Al enfocar su atención en vulnerabilidades que tienen una mayor probabilidad de ser explotadas según las puntuaciones del EPSS, las empresas pueden optimizar sus recursos y esfuerzos.
Estrategias Simples vs. Avanzadas
Las organizaciones pueden elegir entre estrategias de remediación simples que se enfocan en vulnerabilidades de alto riesgo o estrategias avanzadas que incorporan información basada en datos del EPSS. Las estrategias simples pueden depender únicamente de las puntuaciones de vulnerabilidad estándar, mientras que las estrategias avanzadas aprovecharán las puntuaciones del EPSS para priorizar la remediación de manera más eficiente.
Las diferencias en el rendimiento entre estos enfoques pueden ser sustanciales. Por ejemplo, las organizaciones que adoptan EPSS pueden descubrir que pueden parchear menos vulnerabilidades y aun así lograr un alto nivel de cobertura respecto a aquellas que están siendo explotadas activamente.
Desarrollos Futuros
A medida que el EPSS continúa evolucionando, se centrará en incorporar nuevos datos y mejorar las técnicas de modelado. El desarrollo continuo asegurará que el sistema siga siendo relevante y efectivo frente a las amenazas cibernéticas emergentes.
Abordando Limitaciones
Aunque la iniciativa EPSS ha logrado avances significativos, es importante reconocer algunas limitaciones. Los datos recopilados reflejan solo las actividades de explotación observadas a través de fuentes asociadas, que pueden no representar cada vulnerabilidad que existe.
Además, la naturaleza de los sistemas de detección utilizados puede sesgar los resultados hacia ataques observable públicamente, lo que podría llevar a vacíos en la comprensión de cómo se explotan algunas vulnerabilidades.
Conclusión
El EPSS representa un gran avance en la gestión de vulnerabilidades. Proporciona un sistema de puntuación público y basado en datos que las organizaciones pueden usar para priorizar su respuesta a las vulnerabilidades de manera efectiva.
Al utilizar esta nueva herramienta, las empresas pueden volverse más ágiles en sus esfuerzos de gestión de vulnerabilidades, enfocándose en las amenazas más probables y así mejorar su postura de seguridad general.
La colaboración continua dentro de la comunidad EPSS asegurará que el sistema siga adaptándose y evolucionando, proporcionando a las organizaciones la información necesaria para combatir eficazmente las amenazas cibernéticas.
Título: Enhancing Vulnerability Prioritization: Data-Driven Exploit Predictions with Community-Driven Insights
Resumen: The number of disclosed vulnerabilities has been steadily increasing over the years. At the same time, organizations face significant challenges patching their systems, leading to a need to prioritize vulnerability remediation in order to reduce the risk of attacks. Unfortunately, existing vulnerability scoring systems are either vendor-specific, proprietary, or are only commercially available. Moreover, these and other prioritization strategies based on vulnerability severity are poor predictors of actual vulnerability exploitation because they do not incorporate new information that might impact the likelihood of exploitation. In this paper we present the efforts behind building a Special Interest Group (SIG) that seeks to develop a completely data-driven exploit scoring system that produces scores for all known vulnerabilities, that is freely available, and which adapts to new information. The Exploit Prediction Scoring System (EPSS) SIG consists of more than 170 experts from around the world and across all industries, providing crowd-sourced expertise and feedback. Based on these collective insights, we describe the design decisions and trade-offs that lead to the development of the next version of EPSS. This new machine learning model provides an 82\% performance improvement over past models in distinguishing vulnerabilities that are exploited in the wild and thus may be prioritized for remediation.
Autores: Jay Jacobs, Sasha Romanosky, Octavian Suciu, Benjamin Edwards, Armin Sarabi
Última actualización: 2023-06-15 00:00:00
Idioma: English
Fuente URL: https://arxiv.org/abs/2302.14172
Fuente PDF: https://arxiv.org/pdf/2302.14172
Licencia: https://creativecommons.org/licenses/by/4.0/
Cambios: Este resumen se ha elaborado con la ayuda de AI y puede contener imprecisiones. Para obtener información precisa, consulte los documentos originales enlazados aquí.
Gracias a arxiv por el uso de su interoperabilidad de acceso abierto.
Enlaces de referencia
- https://www.first.org/epss
- https://www.cisa.gov/binding-operational-directive-22-01
- https://github.com/wacco-workshop/WACCO/tree/main/WACCO-2023
- https://www.cyentia.com/services/exploit-intelligence-service
- https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/view
- https://googleprojectzero.blogspot.com/p/0day.html
- https://www.zerodayinitiative.com/about
- https://www.cisa.gov/known-exploited-vulnerabilities
- https://cwe.mitre.org
- https://www.first.org/cvss
- https://www.microsoft.com/en-us/msrc/exploitability-index
- https://www.darkreading.com/risk/black-hat-the-microsoft-exploitability-index-more-vulnerability-madness
- https://access.redhat.com/security/updates/classification
- https://www.tenable.com/blog/what-is-vpr-and-how-is-it-different-from-cvss
- https://www.rapid7.com/products/insightvm/features/real-risk-prioritization
- https://www.recordedfuture.com/platform/vulnerability-intelligence