Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

El EPSS muestra un desempeño robusto al predecir los exploits de acuerdo a un estudio elaborado por Cyentia y FIRST

La imagen muestra una figura en forma de cerebro con un chip en él.

Tenable patrocinó una investigación elaborada por Cyentia y FIRST que descubrió que aunque la explotación de vulnerabilidades es altamente variable, los EPSS son cada vez más robustos en su capacidad de predecir las explotaciones.

El número de CVE publicadas anualmente sigue creciendo, por lo que cada vez es más importante predecir cuáles requieren la atención de los equipos de gestión de vulnerabilidades. Nueva investigación del Cyentia Institute y del Forum of Incident Response and Security Teams (FIRST) determina que el Sistema de puntuación de la predicción de exploit (EPSS) es útil para tomar decisiones más fundamentadas acerca de la priorización de vulnerabilidades.

La extensa investigación se propuso explorar el momento, la prevalencia y el volumen de la actividad de explotación, y también recolectar y analizar feedback sobre el desempeño de EPSS. El resultado de este esfuerzo es el informe: A Visual Exploration of Exploitation in the Wild. Dicho informe proporciona puntos de datos y análisis que beneficiarán a la gran y creciente comunidad de usuarios empresariales y productos de seguridad que aprovechan EPSS. En esta serie de blogs de dos partes, exploraremos algunos de los hallazgos y conocimientos clave de la investigación. La primera parte responderá a las siguientes preguntas:

  • ¿Qué proporción de las vulnerabilidades se ha explotado?
  • ¿Cuál es el patrón típico de la actividad de explotación?
  • ¿Qué tan extendida está la explotación entre las organizaciones?
  • ¿Cómo se desempeña el EPSS a la hora de predecir las explotaciones?

¿Qué proporción de las vulnerabilidades se ha explotado?

Créalo o no, estamos cerca de un cuarto de millón de CVE publicadas. Y esta cifra ha crecido a una tasa del 16 % en los últimos siete años. Nadie tiene el tiempo o los recursos para abordar todas estas vulnerabilidades, lo que hace que identificar y priorizar las que importan sea lo más importante. Un paso crítico en los esfuerzos de priorización es hacer el seguimiento y predecir cuántas vulnerabilidades son explotadas.  

En la Figura 1, puede ver la acumulación de 13 807 CVE con actividad de explotación a lo largo del tiempo en el gráfico izquierdo, que indica que el número de vulnerabilidades conocidas explotadas se acerca constantemente a 15 000. En el gráfico de la derecha, puede ver el recuento como un porcentaje de CVE publicadas a lo largo del tiempo y observar que alrededor del 6 % de todas las CVE publicadas han sido explotadas, y que la tasa se mantiene estable.  

Figura 1: Vulnerabilidades con actividad de explotación 

La imagen muestra un gráfico de vulnerabilidades con actividad de explotación
Fuente: A Visual Exploration of Exploitation in the Wild por el Cyentia Institute y FIRST, julio de 2024 

¿Cuál es el patrón típico de la actividad de explotación?

Ahora, echemos un vistazo al patrón típico de actividad de explotación...¡resulta que no hay uno! 

La Figura 2 muestra la actividad de explotación de cinco CVE diferentes durante 2023. Cada una de ellas tiene una actividad de explotación única:

  • La CVE superior experimentó una explotación de corta duración y muy escasa.
  • La segunda CVE experimentó una actividad bastante regular entre semana.  
  • La tercera CVE experimentó intentos de explotación de diarios a semanales, con un pico a mediados de diciembre.  
  • La cuarta CVE mostró una explotación diaria sostenida que fue particularmente alta del primero al segundo trimestre.
  • Y la CVE final experimentó una tasa extremadamente alta y constante de actividad de explotación.  

Entonces, ¿qué significa todo esto? Bueno, la explotación se lleva a cabo en diferentes niveles de intensidad y duración. Sería prudente no tratar a "explotada" como una variable binaria, sino profundizar en variables adicionales como la intensidad y la duración para los esfuerzos de priorización.

Figura 2: Disparidad en la actividad de explotación observada  

La figura muestra la disparidad en la actividad de explotación observada
Fuente: A Visual Exploration of Exploitation in the Wild por el Cyentia Institute y FIRST, julio de 2024 

 

¿Qué tan extendida está la explotación entre las organizaciones?

Hablando de no tratar a "explotada" como una variable binaria, veamos la prevalencia de explotación observada en una gran población de más de 100 000 organizaciones distribuidas en todo el mundo. Una observación sorprendente es que no muchas organizaciones observan intentos de explotación dirigidos a una vulnerabilidad en particular. Los exploits que afectan a más de 1 de cada 10 organizaciones son raros (¡son menos del 5 %!) . Cuando las vulnerabilidades se reportan como explotadas en la realidad, generalmente se piensa que son explotadas en todas partes. Sin embargo, este no es el caso, e indica que no deberíamos tratar a todos los informes de explotación por igual.

Figura 3: La prevalencia de la actividad de explotación 

La imagen muestra la prevalencia de la actividad de explotación
Fuente: A Visual Exploration of Exploitation in the Wild por el Cyentia Institute y FIRST, julio de 2024 


 

¿Cómo se desempeña el EPSS a la hora de predecir las explotaciones?

De acuerdo a FIRST, EPSS es un “esfuerzo impulsado por datos para estimar la probabilidad de que una vulnerabilidad de software sea explotada en la realidad”. EPSS toma una estimación diaria durante los siguientes 30 días de todas las CVE conocidas y proporciona una puntuación de probabilidad que oscila entre 0 y 1 (o 0 a 100 %), que indica la probabilidad de explotación. 

Como se observa en la Figura 4, cada versión de EPSS ha mostrado un mayor desempeño en su capacidad para predecir la explotación. Tres métricas miden el desempeño: 

  1. Cobertura: mide la integridad de la priorización de la actividad de explotación (% de todas las vulnerabilidades explotadas conocidas que se priorizaron correctamente) 
  2. Eficiencia: mide la exactitud de las priorizaciones (% de vulnerabilidades priorizadas para la corrección que realmente fueron explotadas)  
  3. Esfuerzo: mide la carga de trabajo global creada por la estrategia de priorización (% de vulnerabilidades priorizadas de todas las vulnerabilidades) 

Con base en la Figura 4, puede ver que la corrección de vulnerabilidades con una puntuación EPSS de más de 0,6 logra una cobertura de ~ 60 % con una eficiencia del 80 %, mientras que la corrección de vulnerabilidades con una puntuación EPSS de más de 0,1 cambia a una cobertura del 80 % y una eficiencia del 50 %. Cada organización variará en su tolerancia al riesgo, lo que impacta las estrategias de priorización. Comprender las métricas de cobertura, eficiencia y esfuerzo puede ayudar a las organizaciones a tomar decisiones más fundamentadas sobre las estrategias específicas que emplean para sus programas de gestión de vulnerabilidades. 

Figura 4: El desempeño del Sistema de puntuación de la predicción de exploit (EPSS)

El gráfico muestra el desempeño del Sistema de puntuación de la predicción de exploit (EPSS)
Fuente: A Visual Exploration of Exploitation in the Wild por el Cyentia Institute y FIRST, julio de 2024 


 

Esta investigación es fantástica, ¿cuál es el siguiente paso?

Para obtener más información, descargue el informe completo. Aproveche el soporte de EPSS en Nessus 10.8.0 con una prueba gratuita o compre una licencia. ¡Esté atento a la segunda parte de esta serie de blog!

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Las pruebas de Tenable Vulnerability Management creadas en todas partes, excepto en los Emiratos Árabes Unidos, también incluirán Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de accesos de seguridad completos a nuestra última oferta de análisis de vulnerabilidades de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute los accesos de seguridad completos a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos de seguridad en la nube a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar vulnerabilidad y riesgo cibernéticos.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidad más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo análisis de vulnerabilidades de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidad más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de análisis de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación