首页 > 其他分享 >【安全运维】EPSS vs. CVSS : 更高效的漏洞优先级模型

【安全运维】EPSS vs. CVSS : 更高效的漏洞优先级模型

时间:2024-11-06 18:09:05浏览次数:2  
标签:优先级 运维 评分 EPSS 漏洞 vs 排序 CVSS

原创 Xyalbiyes SecLink安全空间

背景

许多企业依赖通用漏洞评分系统(CVSS)来评估漏洞的严重性以进行优先级排序。虽然这些评分提供了漏洞潜在影响的一些参考,但它们没有考虑到现实世界的威胁数据,例如被利用的可能性。随着每天发现的新漏洞,团队没有时间或预算去修复那些不会真正降低风险的漏洞。

什么是漏洞优先级排序?

漏洞优先级排序是根据漏洞对组织可能产生的影响来评估和排名漏洞的过程。其目标是帮助安全团队确定哪些漏洞需要解决、在什么时间范围内解决,或者是否需要修复。这一过程确保了在漏洞被利用之前,最关键的风险得到缓解,是攻击面管理的重要组成部分。在理想情况下,安全团队能够在发现漏洞后立即修复每一个漏洞,但这既不可能也不高效。研究表明,大多数团队每月只能修复大约10-15%的未解决漏洞,这就是为什么有效的优先级排序如此重要。

正确进行漏洞优先级排序可以确保组织能够最佳利用其资源。为什么这很重要?因为企业安全难以负担无效投入,而风险管理就是确保预算用在刀刃上。

CVSS在漏洞优先级排序中的局限性

通常来讲组织优先级排序漏洞的最常见方法之一是使用CVSS评分。

CVSS评分是由一些在时间和用户环境中恒定的因素决定的,例如漏洞被利用的难易程度和技术手段以及成功利用的后果。这些因素被量化并组合生成一个0到10之间的最终评分——评分越高,严重性越高。

CVSS评分提供了一个基线和标准化的严重性评估方式,有时这是合规所必需的。然而,它也有一些局限性,使得仅依赖CVSS不如将其与实时数据源结合考虑更有效。

CVSS评分的主要局限性之一是它们不考虑当前的威胁环境,例如漏洞是否正在被实际利用。这意味着一个高CVSS评分的漏洞不一定是组织面临的最关键问题。例如,CVE-2023-48795的当前CVSS评分为5.9,属于“中等”。但如果考虑其他威胁情报来源,如EPSS,你会发现它在未来30天内被利用的可能性很高(在撰写本文时)。这表明,采取更全面的方法进行漏洞优先级排序非常重要,不仅要考虑CVSS评分,还要考虑实时威胁情报。

通过利用数据改进优先级排序

为了改进漏洞优先级排序,组织应突破CVSS评分,考虑其他因素,例如在野识别到的利用活动。其中一个有价值的来源是由FIRST开发的EPSS模型。

什么是EPSS?

EPSS是一个模型,提供漏洞在未来30天内在野被利用的日均概率。该模型生成一个0到1(0到100%)之间的评分,评分越高,利用的概率越高。

该模型通过从各种来源收集大量漏洞信息来工作,例如国家漏洞数据库(NVD)、CISA KEV和Exploit-DB,以及利用活动的证据。通过使用机器学习,它训练其模型以识别这些数据点之间的模式,从而预测未来的利用可能性。

通过以下工具可以在线计算EPSS:(https://theowni.github.io/EPSS-Calculator)

CVSS vs EPSS

那么,EPSS评分究竟如何帮助改进漏洞优先级排序?

下图展示了一个场景,其中优先修复CVSS评分为7或更高的漏洞。蓝色圆圈代表2023年10月1日记录的所有这些CVE。红色部分表示在接下来的30天内被利用的所有CVE。

如图可见,在野外被利用的漏洞数量仅占CVSS评分为7或更高的漏洞的一小部分。

让我们将其与基于EPSS阈值设置为10%的场景进行比较。

下图中蓝色圆圈的大小明显不同,表示需要优先处理的漏洞数量。这给出了每种优先级排序策略所需工作量的一个概念。使用10%的EPSS阈值,所需的工作量显著减少,因为需要优先处理的漏洞大大减少,从而减少了所需的时间和资源。效率也显著提高,因为组织可以专注于如果不首先解决将产生最大影响的漏洞。

通过在优先级排序漏洞时考虑EPSS,组织可以更好地将其修复工作与实际威胁环境对齐。例如,如果EPSS表明某个漏洞的利用概率很高,而其CVSS评分相对较低,安全团队可能会考虑优先处理该漏洞,而不是那些CVSS评分较高但利用可能性较低的漏洞。

结论

企业在漏洞管理中应突破传统的 CVSS 评分,结合 EPSS 等实时威胁情报,以精准评估漏洞风险。通过优先修复高风险漏洞,企业可以更高效地降低安全威胁,提升整体防御能力。

标签:优先级,运维,评分,EPSS,漏洞,vs,排序,CVSS
From: https://www.cnblogs.com/o-O-oO/p/18526718

相关文章

  • 【安全运维】检测即代码(DAC) 详细步骤
    原创Zafkie1SecLink安全空间引言DAC(DetectionAsCode),检测即代码是一种战略方法,可将安全检测机制无缝集成到软件开发生命周期中。通过将安全控制视为代码,组织可以在整个SIEM运维过程中自动部署、配置和维护安全措施。或许很多人听说过DAC的概念,但是并没有一步步地实现过......
  • vscode: cmake + vcpkg + clangd + lldb调试的一体化IDE配置
    目录vscode:cmake+vcpkg+clangd+lldb调试的一体化IDE配置介绍需求准备工作vscode插件配置项目配置文件vcpkg的两个文件:CMakeLists.txt:CMakePresets.json尝试构建前面未完成的工作总结vscode:cmake+vcpkg+clangd+lldb调试的一体化IDE配置介绍cmake是一个c++的跨......
  • 在VS Code打开的文件夹或工作空间中忽略某些文件和文件夹
    使用快捷键Ctrl+,打开Setting窗口。可以看到有三个级别的Settings,我想针对本工作空间进行设置,所以选择Workspace。选择右上角的OpenSettings(JSON)图标。添加需要忽略的文件或文件夹。"settings":{ "files.exclude":{ "**/.git":true, "**/.sv......
  • VS引用本地的NuGet包
    Step1.打包先选择项目/类库,进行打包。在输出中,找到打包的目录和文件。 Step2.本地创建一个文件夹用于放打包文件。Step3.添加包源打开VS-->工具 --> NuGet包管理器 --> 管理解决方案的NuGet程序包选择右上方:程序包源右侧的齿轮按钮在程序包源中,新增一条。名称:自......
  • T-SQL运维脚本——查看SQLServer平均最耗资源时间的SQL语句
    可以在MSSM中直接对当前链接右键:活动与监视器中查看也可以执行下面的查询语句:SELECT(total_elapsed_time/execution_count)/1000N'平均时间ms',total_elapsed_time/1000N'总花费时间ms',total_worker_time/1000......
  • Docker:开源容器化平台,解决开发运维问题的神器
    云计算de小白Docker是一个开源的容器化平台,可以将应用程序及其依赖的环境打包成轻量级、可移植的容器。Docker为什么这么受欢迎呢?原因很简单:Docker可以解决不同环境一致运行的问题,而且占用资源少,速度快。所以好的东西应该被更多人喜欢,因为Docker确实解决了我们日常的开发和......
  • 刚性PCB VS 柔性PCB,区别和作用,你该这样选!
    从前,大多数电子产品采用传统刚性PCB。然而,随着技术发展,许多产品因刚性PCB无法折叠或扭曲而放弃了它,进而催生了柔性PCB的理念,且柔性PCB很快成为市场上众多专业人士的首选。刚性与柔性PCB的制造过程大致相同,但在灵活性、柔软性及成本方面存在差异。柔性PCB成本高......
  • 基于Arcgis10.8+VS2019的ArcObjectsSDKNet安装
    基于Arcgis10.8+VS2019的ArcObjectsSDKNet安装首先Arcgis10.8和Arcgis10.8.1所需要的ArcObjectsSDKNet版本是不同的在使用10.8的ArcObjectsSDKNet在Arcgis10.8.1的基础上是安装不了的,会检测不到在安装Arcgis10.8的基础上,下载Arcgis10.8的ArcObjectsSDKNet,解压后进行安装连接......
  • ROS机器人编程<六>:了解ROS系统及使用VScode实现话题通信(C++)
    目录ROS中基本的通信机制:一、话题通信:1.话题通信定义与基本概念2.核心要素3.工作流程4.消息接口与数据类型二、vscode实现话题通信三、C++实现话题通信 要求:编写发布订阅实现,要求发布方以10HZ(每秒10次)的频率发布文本消息,订阅方订阅消息并将消息内容打印输出1.在......
  • 信息系统安全运维_itss安全运维
    安全运维定义信息系统安全运维指在特定的周期内,通过技术设施安全评估、技术设施安全加固、安全漏洞补丁通告、安全事件应急响应以及信息安全运维咨询,协助组织的系统管理人员进行信息系统的日常安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的......