¿Qué es el Exploit Prediction Scoring System?

Exploit Prediction Scoring System (EPSS), es un sistema automático basado en un modelo estadístico que estima la probabilidad de que una vulnerabilidad sea explotada para atacar un sistema informático en 30 días. El modelo produce una puntuación entre 0 y 1 (0% a 100%), cuanto más alta sea la misma, más probable es que se explote la vulnerabilidad.

EPSS tiene como objetivo asistir a los administradores, desarrolladores y/o custodios de las redes a priorizar mejor la remediación de vulnerabilidades que afectan sus sistemas.

¿Qué es Common Vulnerability Exposure (CVE)?

Common Vulnerability Exposure es una base de datos de vulnerabilidades conocidas mantenido por The MITRE Corporation.

Cada vulnerabilidad está asociada con un código identificador CVE-YYYY-NNNN. Para cada una de estas vulnerabilidades se puede encontrar una descripción que contiene los siguientes aspectos:

  • Sistema y versiones afectadas
  • Posibles soluciones
  • Enlaces a blogs o sitios oficiales con documentación
  • Enlaces a sitios webs conteniendo pruebas de concepto o exploits
  • Enlace al NIST NVD con más información sobre la vulnerabilidad

Dentro de la NVD (National Vulnerability Database) del NIST, se puede encontrar la siguiente información útil para la valoración del riesgo asociado a la vulnerabilidad:

  • CVSS: Estimación de la criticidad entre 0 y 10
  • CWE: Debilidad del sistema asociada a la vulnerabilidad
  • CPE: ID estándar para identificación del software y versión afectada

¿Cómo ayuda el EPSS a priorizar la corrección de vulnerabilidades?

Según el Forum of Incident Response and Security Teams (FIRST), las organizaciones pueden corregir entre un 5% y 20% de vulnerabilidades por mes.

Como se puede ver en la siguiente gráfica se podría estar priorizando la corrección de vulnerabilidades que tal vez no se estén explotando o que no se estén corrigiendo vulnerabilidades que probablemente sean explotadas en un futuro cercano.

Gráfica 1. Comparación entre CVEs publicados, CVE con un un puntaje CVSS mayor a 7 y en rojo los CVEs que realmente están siendo explotados.[1]

La fuerza de EPSS radica en las miles de vulnerabilidades que no han aparecido en los titulares o que pueden no aparecer en ninguna lista de TOP 10 de vulnerabilidades. EPSS no debe tomarse en cuenta cuando hay evidencia de que efectivamente una vulnerabilidad está siendo explotada.

Es importante destacar que del total de vulnerabilidades conocidas, solamente se ven explotadas entre un 2% y un 7%.

¿De dónde se obtienen los datos para calcular este valor?

Mediante un esfuerzo colaborativo, diferentes organizaciones reúnen datos relacionados a vulnerabilidades catalogadas con un identificador Common Vulnerability Exposure, conocido como CVE, y su correspondiente grado de explotación actual. Para lograr esto, las organizaciones involucradas observan y registran intentos de explotación contra las diferentes vulnerabilidades públicas.

Referencias

https://www.first.org/epss/

https://www.cve.org/

https://nvd.nist.gov/

Autor: Guillermo Pereyra

Fecha: Diciembre 2022


[1] https://www.first.org/epss/model