Affrontare le vulnerabilità software con EPSS
Un nuovo sistema per migliorare la valutazione e la gestione delle vulnerabilità nelle organizzazioni.
― 7 leggere min
Indice
Negli anni, il numero di Vulnerabilità software segnalate è aumentato. Mentre le organizzazioni cercano di mettere in sicurezza i loro sistemi, si trovano di fronte a sfide significative nel risolvere queste vulnerabilità. Per minimizzare il rischio di attacchi, è cruciale dare priorità a quali vulnerabilità necessitano di attenzione immediata.
I metodi esistenti per valutare le vulnerabilità spesso non sono all'altezza. Molti di questi sistemi sono fatti da fornitori specifici, non sono accessibili a tutti o si basano su Dati proprietari. Di solito si concentrano sulla gravità delle vulnerabilità ma non riescono a utilizzare informazioni aggiornate che potrebbero prevedere meglio l'effettiva sfruttabilità.
Per affrontare queste lacune, un gruppo di esperti di vari settori si è riunito per sviluppare un nuovo sistema chiamato Exploit Prediction Scoring System (EPSS). Questo sistema utilizzerà dati per fornire punteggi a tutte le vulnerabilità conosciute, e sarà liberamente disponibile per chiunque. Inoltre, si adatterà a nuove informazioni man mano che diventano disponibili.
La Necessità di Una Migliore Gestione delle Vulnerabilità
Le organizzazioni sono sotto pressione costante per gestire le vulnerabilità in modo efficace. L'aumento annuale delle vulnerabilità divulgate rende questo compito ancora più difficile. Ad esempio, nel 2022 è stato riportato un significativo incremento delle vulnerabilità, il che ha reso ancora più complicato per le organizzazioni tenere il passo.
Uno studio recente ha mostrato che molte aziende fanno fatica a risolvere le vulnerabilità. In media, solo una piccola percentuale di vulnerabilità viene corretta ogni mese. Questa limitata capacità di affrontare le vulnerabilità aumenta il rischio di Sfruttamento e rende la priorizzazione ancora più critica.
Il processo di prioritizzazione delle vulnerabilità si basa generalmente su sistemi di Punteggio, come il Common Vulnerability Scoring System (CVSS). Tuttavia, il CVSS ha dei limiti nella sua capacità di adattarsi a nuove informazioni sulle vulnerabilità dopo la loro divulgazione. Di conseguenza, un gran numero di vulnerabilità rimane a rischio, ed è chiaro che c'è bisogno di un sistema di punteggio migliore.
L'Iniziativa EPSS
Per migliorare la gestione delle vulnerabilità, il team EPSS ha formato un Gruppo di Interesse Speciale (SIG) con oltre 170 esperti di vari settori. L'obiettivo principale è creare un sistema che preveda la probabilità di sfruttamento delle vulnerabilità in scenari reali, basato su dati e intuizioni dei professionisti.
L'EPSS è iniziato come un piccolo progetto mirato a prevedere la possibilità di sfruttamento per le vulnerabilità. Ora è cresciuto in uno standard riconosciuto volto a fornire punteggi tempestivi e accurati per le vulnerabilità basati su dati di sfruttamento nel mondo reale.
Lavorare con i Dati
I dati utilizzati nello sviluppo dell'EPSS provengono da varie fonti. Comprendono prove di attività di sfruttamento negli ultimi anni, concentrandosi su milioni di tentativi di sfruttare vulnerabilità. Queste informazioni aiutano a costruire una solida base per fare previsioni riguardo quali vulnerabilità potrebbero essere sfruttate nel prossimo futuro.
Il team EPSS ha sviluppato un set di dati con oltre 190.000 vulnerabilità pubblicate. Le informazioni sono state raccolte nel corso di un tempo significativo, consentendo una comprensione più profonda di come le vulnerabilità vengono mirate nel mondo reale.
Prove di Sfruttamento
Per determinare se una vulnerabilità viene sfruttata, l'EPSS raccoglie informazioni da più fonti affidabili. Queste fonti utilizzano metodi diversi, tra cui sistemi di rilevamento delle intrusioni e honeypots, per catturare tentativi di sfruttamento delle vulnerabilità.
Una volta raccolti i dati, vengono puliti e strutturati per identificare se c'è stata qualche attività di sfruttamento per una particolare vulnerabilità. Questa attenta gestione dei dati consente previsioni accurate riguardo ai rischi di sfruttamento associati a ciascuna vulnerabilità.
Caratteristiche per la Previsione
L'EPSS sfrutta un gran numero di caratteristiche per prevedere lo sfruttamento. Le caratteristiche comprendono vari punti di dati, tra cui:
- Codice di Sfruttamento Pubblicato: L'esistenza di codice di sfruttamento disponibile pubblicamente è un forte indicatore che una vulnerabilità venga sfruttata.
- Elenco di Vulnerabilità Pubbliche: Le vulnerabilità elencate in cataloghi popolari tendono a ricevere più attenzione e hanno maggiori probabilità di essere attaccate.
- Menzioni sui Social Media: Discussioni sulle vulnerabilità su piattaforme come Twitter possono segnalare un crescente interesse o preoccupazione tra gli attaccanti.
- Strumenti di Sicurezza Offensiva: Strumenti progettati per il penetration testing evidenziano spesso vulnerabilità che possono essere obiettivi facili per gli attaccanti.
- Età delle Vulnerabilità: Le vulnerabilità più vecchie possono diventare meno attraenti per gli attaccanti man mano che la conoscenza pubblica su di esse aumenta e vengono rilasciate delle patch.
Tutte queste caratteristiche si uniscono per migliorare la capacità predittiva del nuovo sistema.
Miglioramenti nel Modello EPSS
L'evoluzione del modello EPSS è stata guidata dai feedback della comunità di professionisti e ricercatori. Inizialmente, era progettato per essere semplice e portatile; tuttavia, le versioni più recenti si sono spostate verso un approccio più centralizzato che consente un modello più complesso e sofisticato.
Sviluppi delle Versioni 2 e 3
La seconda versione dell'EPSS si è concentrata sull'affrontare le limitazioni della prima versione espandendo il processo di raccolta dati e passando a un'architettura centralizzata. Questo cambiamento ha permesso un modello più complesso utilizzando tecniche avanzate che sfruttano un numero maggiore di caratteristiche.
La terza versione ha preso i miglioramenti dai modelli precedenti e ha aggiunto ancora più caratteristiche da fonti di dati diverse. Questo miglioramento ha portato a un significativo aumento delle prestazioni predittive rispetto alle versioni precedenti dell'EPSS.
Metriche di Prestazione
L'efficacia del sistema EPSS è stata misurata utilizzando varie metriche di prestazione. Queste includono precisione e richiamo, che aiutano a valutare quanto bene il modello riesca a identificare le vulnerabilità che potrebbero essere sfruttate.
- Precisione: Indica l'efficienza delle risorse. Misura quante delle vulnerabilità che sono state risolte siano state effettivamente sfruttate.
- Richiamo: Misura la copertura delle vulnerabilità, ovvero quante delle effettive sfruttamenti sono state affrontate attraverso sforzi di remediation.
Bilanciando queste due metriche, le organizzazioni possono prioritizzare le vulnerabilità in modo più efficace.
Applicazioni Pratiche dell'EPSS
Le organizzazioni possono utilizzare i punteggi EPSS per informare le loro strategie di gestione delle vulnerabilità. Concentrandosi sulle vulnerabilità che hanno maggiore probabilità di essere sfruttate secondo i punteggi EPSS, le aziende possono ottimizzare le loro risorse e sforzi.
Strategie Semplici vs. Avanzate
Le organizzazioni possono scegliere tra strategie di remediation semplici che si concentrano su vulnerabilità ad alto rischio o strategie avanzate che incorporano intuizioni basate sui dati dell'EPSS. Le strategie semplici possono basarsi esclusivamente su punteggi vulnerabilità standard, mentre le strategie avanzate sfrutteranno i punteggi dell'EPSS per prioritizzare la remediation in modo più efficiente.
Le differenze nelle prestazioni tra questi approcci possono essere sostanziali. Ad esempio, le organizzazioni che adottano l'EPSS possono scoprire di poter patchare meno vulnerabilità pur mantenendo un alto livello di copertura riguardo a quelle che sono attivamente sfruttate.
Sviluppi Futuri
Man mano che l'EPSS continua a evolversi, si concentrerà sull'incorporare nuovi dati e migliorare le tecniche di modellazione. Lo sviluppo continuo garantirà che il sistema rimanga rilevante ed efficace di fronte alle minacce informatiche emergenti.
Affrontare le Limitazioni
Sebbene l'iniziativa EPSS abbia fatto significativi progressi, è importante riconoscere alcune limitazioni. I dati raccolti riflettono solo le attività di sfruttamento osservate attraverso fonti partner, che potrebbero non rappresentare ogni vulnerabilità esistente.
Inoltre, la natura dei sistemi di rilevamento utilizzati potrebbe sbilanciare i risultati verso attacchi pubblicamente osservabili, portando potenzialmente a lacune nella comprensione di come alcune vulnerabilità vengano sfruttate.
Conclusione
L'EPSS rappresenta un grande passo avanti nella gestione delle vulnerabilità. Fornisce un sistema di punteggio pubblico e basato sui dati che le organizzazioni possono utilizzare per prioritizzare efficacemente la loro risposta alle vulnerabilità.
Utilizzando questo nuovo strumento, le aziende possono diventare più agili nei loro sforzi di gestione delle vulnerabilità, concentrandosi sulle minacce più probabili e migliorando così la loro postura di sicurezza complessiva.
La collaborazione continua all'interno della comunità EPSS garantirà che il sistema continui ad adattarsi ed evolversi, fornendo alle organizzazioni le intuizioni necessarie per combattere efficacemente le minacce informatiche.
Titolo: Enhancing Vulnerability Prioritization: Data-Driven Exploit Predictions with Community-Driven Insights
Estratto: The number of disclosed vulnerabilities has been steadily increasing over the years. At the same time, organizations face significant challenges patching their systems, leading to a need to prioritize vulnerability remediation in order to reduce the risk of attacks. Unfortunately, existing vulnerability scoring systems are either vendor-specific, proprietary, or are only commercially available. Moreover, these and other prioritization strategies based on vulnerability severity are poor predictors of actual vulnerability exploitation because they do not incorporate new information that might impact the likelihood of exploitation. In this paper we present the efforts behind building a Special Interest Group (SIG) that seeks to develop a completely data-driven exploit scoring system that produces scores for all known vulnerabilities, that is freely available, and which adapts to new information. The Exploit Prediction Scoring System (EPSS) SIG consists of more than 170 experts from around the world and across all industries, providing crowd-sourced expertise and feedback. Based on these collective insights, we describe the design decisions and trade-offs that lead to the development of the next version of EPSS. This new machine learning model provides an 82\% performance improvement over past models in distinguishing vulnerabilities that are exploited in the wild and thus may be prioritized for remediation.
Autori: Jay Jacobs, Sasha Romanosky, Octavian Suciu, Benjamin Edwards, Armin Sarabi
Ultimo aggiornamento: 2023-06-15 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2302.14172
Fonte PDF: https://arxiv.org/pdf/2302.14172
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://www.first.org/epss
- https://www.cisa.gov/binding-operational-directive-22-01
- https://github.com/wacco-workshop/WACCO/tree/main/WACCO-2023
- https://www.cyentia.com/services/exploit-intelligence-service
- https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/view
- https://googleprojectzero.blogspot.com/p/0day.html
- https://www.zerodayinitiative.com/about
- https://www.cisa.gov/known-exploited-vulnerabilities
- https://cwe.mitre.org
- https://www.first.org/cvss
- https://www.microsoft.com/en-us/msrc/exploitability-index
- https://www.darkreading.com/risk/black-hat-the-microsoft-exploitability-index-more-vulnerability-madness
- https://access.redhat.com/security/updates/classification
- https://www.tenable.com/blog/what-is-vpr-and-how-is-it-different-from-cvss
- https://www.rapid7.com/products/insightvm/features/real-risk-prioritization
- https://www.recordedfuture.com/platform/vulnerability-intelligence