Cyentia 和 FIRST 的研究表明,EPSS 在预测漏洞利用方面表现出色
Tenable 通过赞助 Cyentia 和 FIRST 进行的研究发现,尽管漏洞利用的形式千变万化,但 EPSS 在预测漏洞利用方面的能力却是越来越强大。
每年发布的 CVE 的数量在持续攀升,这意味着预测哪些漏洞需要漏洞管理团队加以关注就越发重要。Cyentia Institute 和 Forum of Incident Response and Security Teams (FIRST) 的最新研究发现,漏洞利用预测评分系统 (EPSS) 评分系统所提供的信息非常有用, 可帮助团队做出有关漏洞优先级分析的更明智的决策。
这份内容丰富的研究旨在探讨漏洞利用的时间、普遍性和数量,同时也收集和分析对 EPSS 效能的反馈意见。研究成果就是这个首份报告“A Visual Exploration of Exploitation in the Wild”。 该报告提供的数据点和分析可让利用 EPSS 的庞大且不断增长的企业用户和安全产品社区受益。在此分成两部分的博客系列中,我们将探讨该项研究得出的关键调查结果和深入见解。第一部分可以回答下列问题:
- 已被利用的漏洞比例是多少?
- 漏洞利用活动的典型模式是什么?
- 企业间的漏洞利用有多普遍?
- EPSS 预测漏洞利用的能力如何?
已被利用的漏洞比例是多少?
不管您信不信,公布的 CVE 数量已达到 25 万个。过去 7 年来,这个数字还以 16% 的速率增加。没有人有充沛的时间和资源来解决所有漏洞,因此识别影响最大的漏洞并进行优先级分析就显得尤为重要。优先级分析工作的一个关键步骤是跟踪和预测遭利用的漏洞的数量。
在图 1 中,图片左侧是长久以来累积的 13,807 个含漏洞利用活动的 CVE,这告诉我们已知遭利用漏洞的数量正稳步逼近 15,000。在图片右侧,您可以看到已发布 CVE 随时间变化的百分比,这表明在所有已发布的 CVE 中,约 6% 已遭漏洞利用,该比例保持相当稳定。
图 1: 含漏洞利用活动的漏洞
漏洞利用活动的典型模式是什么?
现在看看漏洞利用活动的典型模式…不过答案是并没有这种模式!
图 2 显示 2023 年五个不同 CVE 的漏洞利用活动。这些 CVE 每个都有独有的漏洞利用活动:
- 第一个经过漏洞利用的 CVE 生存期很短,非常稀少
- 第二个 CVE 一周的漏洞利用活动相当规律
- 第三个 CVE 每日到每周都会有漏洞利用尝试,12 月中达到高峰
- 第四个 CVE 表示有持续每日漏洞利用,而第一季度到第二季度特别高
- 而最后一个 CVE 所经历的漏洞利用活动频率极高且持续进行
那么,这意味着什么?这表明漏洞利用在强度和持续时间上都有不同。因此最好不要将“遭漏洞利用”作为二进制变量,而是深入探讨强度和持续时间等其他变量,以便进行优先级分析工作。
图 2: 观察到的漏洞利用活动的差异性
企业间的漏洞利用有多普遍?
说到不要将“遭漏洞利用”作为二进制变量,我们来看看在分布于全球各地的 100,000 多家企业中观察到的漏洞利用的普遍性。令人惊讶地发现,并非很多企业都能看到针对特定漏洞的漏洞利用尝试。对 1/10 企业进行的漏洞利用非常罕见(不到 5%!)。 当报告漏洞在现实环境中遭到利用时,人们就通常认为这些漏洞到处被利用。不过,事实并非如此,这表明我们不应该对所有漏洞利用报告一视同仁。
图 3:漏洞利用活动的普遍性
EPSS 预测漏洞利用的能力如何?
根据 FIRST 可知,EPSS 是一个“数据驱动的工作,用于评估软件漏洞在现实环境中遭利用的可能性(几率)。” EPSS 每日都会对未来 30 天的所有已知 CVE 进行评估,并提供从 0 到 1(或 0 到 100%)的几率分数,表示漏洞利用的可能性。
如图 4 所示,每个版本的 EPSS 在预测漏洞利用能力方面都表现出更强的性能。可以使用三个指标来衡量性能:
- 覆盖范围: 度量对漏洞利用活动进行优先级分析的完整性(正确进行优先级分析的所有已知遭利用漏洞的百分比)
- 效率:衡量优先级分析的准确性(实际遭利用且经过优先级分析进行修复的漏洞的百分比)
- 工作量:衡量优先级分析策略所产生的整体工作负载(在所有漏洞中,已进行优先级分析的漏洞所占的百分比)
根据图 4,您可以看到修复 EPSS 分数超过 0.6 的漏洞,覆盖率约 60%,效率达到 80%,而修复 EPSS 分数超过 0.1 的漏洞,覆盖范围就变为 80%,效率达到 50%。每家企业在风险承受度方面都不相同,这进而会影响优先级分析策略。了解覆盖范围、效率和工作量指标,助力企业就其漏洞管理计划的具体策略做出更明智的决策。
图 4: 漏洞利用预测评分系统 (EPSS) 的效能
此项研究非常精彩。该怎么做?
有多更多深入见解,请下载完整报告。 通过免费试用或购买许可证,充分利用 Nessus 10.8.0 对 EPSS 的支持。敬请期待本博客系列的第二部分!
Tori Burinskiy
Tenable 资深产品营销经理
Tori Burinskiy 是 Tenable 的高级产品营销经理,专门负责制定 Tenable High Velocity Business(包括 Tenable Nessus)的上市战略和计划。Tori 在网络安全产品营销领域拥有 5 年多的经验,专门负责制定战略营销计划,以推动客户实现价值增长、提高按产品采用率和产品成长。
相关文章
How To Reduce DNS Infrastructure Risk To Secure Your Cloud Attack Surface
Mismanaging your DNS infrastructure could put you at risk of destructive cyberattacks – especially as your cloud attack surface expands. Read on to learn about DNS vulnerabilities, the impact of DNS takeover attacks, and best practices for DNS security, including how new Tenable plugins can help you...
Walking the Walk: How Tenable Embraces Its "Secure by Design" Pledge to CISA
As a cybersecurity leader, Tenable was proud to be one of the original signatories of CISA’s “Secure by Design" pledge” earlier this year. Our embrace of this pledge underscores our commitment to security-first principles and reaffirms our dedication to shipping robust, secure products that our user...
Context Is King: From Vulnerability Management to Exposure Management
Vulnerability management remains a cornerstone of preventive cybersecurity, but organizations still struggle with vulnerability overload and sophisticated threats. Tenable’s new Exposure Signals gives security teams comprehensive context, so they can shift from vulnerability management to exposure m...
- Attack Surface Management
- Exposure Management
- Exposure Response
- Reports
- Research Reports
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning