El EPSS muestra un desempeño robusto al predecir los exploits de acuerdo a un estudio elaborado por Cyentia y FIRST
Tenable patrocinó una investigación elaborada por Cyentia y FIRST que descubrió que aunque la explotación de vulnerabilidades es altamente variable, los EPSS son cada vez más robustos en su capacidad de predecir las explotaciones.
El número de CVE publicadas anualmente sigue creciendo, por lo que cada vez es más importante predecir cuáles requieren la atención de los equipos de gestión de vulnerabilidades. Nueva investigación del Cyentia Institute y del Forum of Incident Response and Security Teams (FIRST) determina que el Sistema de puntuación de la predicción de exploit (EPSS) es útil para tomar decisiones más fundamentadas acerca de la priorización de vulnerabilidades.
La extensa investigación se propuso explorar el momento, la prevalencia y el volumen de la actividad de explotación, y también recolectar y analizar feedback sobre el desempeño de EPSS. El resultado de este esfuerzo es el informe: A Visual Exploration of Exploitation in the Wild. Dicho informe proporciona puntos de datos y análisis que beneficiarán a la gran y creciente comunidad de usuarios empresariales y productos de seguridad que aprovechan EPSS. En esta serie de blogs de dos partes, exploraremos algunos de los hallazgos y conocimientos clave de la investigación. La primera parte responderá a las siguientes preguntas:
- ¿Qué proporción de las vulnerabilidades se ha explotado?
- ¿Cuál es el patrón típico de la actividad de explotación?
- ¿Qué tan extendida está la explotación entre las organizaciones?
- ¿Cómo se desempeña el EPSS a la hora de predecir las explotaciones?
¿Qué proporción de las vulnerabilidades se ha explotado?
Créalo o no, estamos cerca de un cuarto de millón de CVE publicadas. Y esta cifra ha crecido a una tasa del 16 % en los últimos siete años. Nadie tiene el tiempo o los recursos para abordar todas estas vulnerabilidades, lo que hace que identificar y priorizar las que importan sea lo más importante. Un paso crítico en los esfuerzos de priorización es hacer el seguimiento y predecir cuántas vulnerabilidades son explotadas.
En la Figura 1, puede ver la acumulación de 13 807 CVE con actividad de explotación a lo largo del tiempo en el gráfico izquierdo, que indica que el número de vulnerabilidades conocidas explotadas se acerca constantemente a 15 000. En el gráfico de la derecha, puede ver el recuento como un porcentaje de CVE publicadas a lo largo del tiempo y observar que alrededor del 6 % de todas las CVE publicadas han sido explotadas, y que la tasa se mantiene estable.
Figura 1: Vulnerabilidades con actividad de explotación
¿Cuál es el patrón típico de la actividad de explotación?
Ahora, echemos un vistazo al patrón típico de actividad de explotación...¡resulta que no hay uno!
La Figura 2 muestra la actividad de explotación de cinco CVE diferentes durante 2023. Cada una de ellas tiene una actividad de explotación única:
- La CVE superior experimentó una explotación de corta duración y muy escasa.
- La segunda CVE experimentó una actividad bastante regular entre semana.
- La tercera CVE experimentó intentos de explotación de diarios a semanales, con un pico a mediados de diciembre.
- La cuarta CVE mostró una explotación diaria sostenida que fue particularmente alta del primero al segundo trimestre.
- Y la CVE final experimentó una tasa extremadamente alta y constante de actividad de explotación.
Entonces, ¿qué significa todo esto? Bueno, la explotación se lleva a cabo en diferentes niveles de intensidad y duración. Sería prudente no tratar a "explotada" como una variable binaria, sino profundizar en variables adicionales como la intensidad y la duración para los esfuerzos de priorización.
Figura 2: Disparidad en la actividad de explotación observada
¿Qué tan extendida está la explotación entre las organizaciones?
Hablando de no tratar a "explotada" como una variable binaria, veamos la prevalencia de explotación observada en una gran población de más de 100 000 organizaciones distribuidas en todo el mundo. Una observación sorprendente es que no muchas organizaciones observan intentos de explotación dirigidos a una vulnerabilidad en particular. Los exploits que afectan a más de 1 de cada 10 organizaciones son raros (¡son menos del 5 %!) . Cuando las vulnerabilidades se reportan como explotadas en la realidad, generalmente se piensa que son explotadas en todas partes. Sin embargo, este no es el caso, e indica que no deberíamos tratar a todos los informes de explotación por igual.
Figura 3: La prevalencia de la actividad de explotación
¿Cómo se desempeña el EPSS a la hora de predecir las explotaciones?
De acuerdo a FIRST, EPSS es un “esfuerzo impulsado por datos para estimar la probabilidad de que una vulnerabilidad de software sea explotada en la realidad”. EPSS toma una estimación diaria durante los siguientes 30 días de todas las CVE conocidas y proporciona una puntuación de probabilidad que oscila entre 0 y 1 (o 0 a 100 %), que indica la probabilidad de explotación.
Como se observa en la Figura 4, cada versión de EPSS ha mostrado un mayor desempeño en su capacidad para predecir la explotación. Tres métricas miden el desempeño:
- Cobertura: mide la integridad de la priorización de la actividad de explotación (% de todas las vulnerabilidades explotadas conocidas que se priorizaron correctamente)
- Eficiencia: mide la exactitud de las priorizaciones (% de vulnerabilidades priorizadas para la corrección que realmente fueron explotadas)
- Esfuerzo: mide la carga de trabajo global creada por la estrategia de priorización (% de vulnerabilidades priorizadas de todas las vulnerabilidades)
Con base en la Figura 4, puede ver que la corrección de vulnerabilidades con una puntuación EPSS de más de 0,6 logra una cobertura de ~ 60 % con una eficiencia del 80 %, mientras que la corrección de vulnerabilidades con una puntuación EPSS de más de 0,1 cambia a una cobertura del 80 % y una eficiencia del 50 %. Cada organización variará en su tolerancia al riesgo, lo que impacta las estrategias de priorización. Comprender las métricas de cobertura, eficiencia y esfuerzo puede ayudar a las organizaciones a tomar decisiones más fundamentadas sobre las estrategias específicas que emplean para sus programas de gestión de vulnerabilidades.
Figura 4: El desempeño del Sistema de puntuación de la predicción de exploit (EPSS)
Esta investigación es fantástica, ¿cuál es el siguiente paso?
Para obtener más información, descargue el informe completo. Aproveche el soporte de EPSS en Nessus 10.8.0 con una prueba gratuita o compre una licencia. ¡Esté atento a la segunda parte de esta serie de blog!
Artículos relacionados
- Attack Surface Management
- Exposure Management
- Exposure Response
- Reports
- Research Reports
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning