Muitas empresas contam com o Frequent Vulnerability Scoring System (CVSS) para avaliar a gravidade das vulnerabilidades para priorização. Embora essas pontuações forneçam algumas informações sobre o impacto potencial de uma vulnerabilidade, elas não levam em consideração dados de ameaças do mundo actual, como a probabilidade de exploração. Com novas vulnerabilidades descobertas diariamente, as equipes não têm tempo – nem orçamento – para desperdiçar na correção de vulnerabilidades que na verdade não reduzem o risco.
Proceed lendo para saber mais sobre como o CVSS e o EPSS se comparam e por que o uso do EPSS é uma virada de jogo no seu processo de priorização de vulnerabilidades.
O que é priorização de vulnerabilidade?
A priorização de vulnerabilidades é o processo de avaliação e classificação de vulnerabilidades com base no impacto potencial que elas podem ter em uma organização. O objetivo é ajudar as equipes de segurança a determinar quais vulnerabilidades devem ser abordadas, em que prazo ou se precisam ser corrigidas. Este processo garante que os riscos mais críticos sejam mitigados antes que possam ser explorados e é uma parte essencial do gerenciamento da superfície de ataque.
Num mundo preferrred, as equipas de segurança seriam capazes de remediar todas as vulnerabilidades assim que fossem descobertas, mas isso não é possível nem eficiente. A pesquisa mostrou que a maioria das equipes só consegue remediar cerca de 10-15% de suas vulnerabilidades abertas por mês, e é por isso que priorizar de forma eficaz é tão importante.
Em última análise, acertar na priorização de vulnerabilidades garante que as organizações possam fazer o melhor uso de seus recursos. Por que isso importa? Porque as empresas não podem dar-se ao luxo de gastar dinheiro em coisas, a menos que isso faça alguma diferença, e a gestão de riscos tem tudo a ver com garantir que o dinheiro seja gasto na redução genuína dos riscos.
As limitações do CVSS para priorização de vulnerabilidades
Historicamente, uma das maneiras mais comuns pelas quais as organizações priorizam vulnerabilidades é usando pontuações básicas do CVSS.
As pontuações básicas do CVSS são determinadas por fatores que são constantes ao longo do tempo e dos ambientes do usuário, como a facilidade e os meios técnicos pelos quais uma vulnerabilidade pode ser explorada e a consequência de uma exploração bem-sucedida. Esses fatores são quantificados e combinados para gerar uma pontuação closing entre 0 e 10 – quanto maior a pontuação, maior a gravidade.
As pontuações CVSS oferecem uma base e uma forma padronizada de avaliar a gravidade e às vezes são necessárias para a conformidade. No entanto, têm limitações que tornam menos eficiente confiar neles do que considerá-los juntamente com fontes de dados em tempo actual.
Uma das principais limitações das pontuações CVSS é que elas não consideram o cenário atual de ameaças, como se uma vulnerabilidade está sendo ativamente explorada em estado selvagem. Isto significa que uma vulnerabilidade com uma pontuação elevada no CVSS pode não ser necessariamente o problema mais crítico que uma organização enfrenta. Veja CVE-2023-48795, por exemplo. Sua pontuação CVSS atual é 5,9, que é “média”. Mas se você considerar outras fontes de inteligência sobre ameaças, como o EPSS, verá que há uma grande likelihood de ele ser explorado nos próximos 30 dias (no momento em que este artigo foi escrito).
Isso mostra a importância de adotar uma abordagem mais holística para a priorização de vulnerabilidades, que considere não apenas as pontuações CVSS, mas também a inteligência sobre ameaças em tempo actual.
Melhorando a priorização com dados de exploração
Para melhorar a priorização de vulnerabilidades, as organizações devem ir além das pontuações CVSS e considerar outros fatores, como atividades de exploração identificadas na natureza. Uma fonte valiosa para isso é o EPSS, um modelo desenvolvido pela FIRST.
O que é EPSS?
EPSS é um modelo que fornece uma estimativa diária da probabilidade de uma vulnerabilidade ser explorada em liberdade nos próximos 30 dias. O modelo produz uma pontuação entre 0 e 1 (0 e 100%), com pontuações mais altas indicando maior probabilidade de exploração.
O modelo funciona coletando uma ampla gama de informações sobre vulnerabilidade de diversas fontes, como o Banco de Dados Nacional de Vulnerabilidade (NVD), CISA KEV e Exploit-DB, juntamente com evidências de atividades de exploração. Usando aprendizado de máquina, ele treina seu modelo para identificar padrões sutis entre esses pontos de dados, permitindo prever a probabilidade de exploração futura.
CVSS x EPSS
Então, como exatamente as pontuações EPSS ajudam a melhorar a priorização de vulnerabilidades?
O diagrama abaixo ilustra um cenário em que vulnerabilidades com pontuação CVSS de 7 ou superior são priorizadas para correção. O círculo azul representa todos esses CVEs registrados em 1º de outubro de 2023. Em vermelho, você pode ver todos os CVEs com pontuações CVSS que foram explorados nos 30 dias seguintes.
Como você pode ver, o número de vulnerabilidades que foram exploradas em estado selvagem representa um pequeno número de vulnerabilidades com uma pontuação CVSS de 7 ou superior.
 |
| Fonte authentic: FIRST.org |
Vamos comparar isso com um cenário em que as vulnerabilidades são priorizadas com base em um limite de EPSS definido como 10%.
Uma diferença notável entre os dois diagramas abaixo é o tamanho dos círculos azuis, que indicam o número de vulnerabilidades que precisam ser priorizadas. Isso dá uma ideia da quantidade de esforço necessária para cada estratégia de priorização. Com um limite de EPSS de 10%, o esforço é significativamente menor, pois há muito menos vulnerabilidades para priorizar, reduzindo o tempo e os recursos necessários. A eficiência também é significativamente maior, pois as organizações podem concentrar-se nas vulnerabilidades que teriam maior impacto se não fossem abordadas primeiro.
 |
| Fonte authentic: FIRST.org |
Ao considerar o EPSS ao priorizar vulnerabilidades, as organizações podem alinhar melhor seus esforços de remediação com o cenário actual de ameaças. Por exemplo, se o EPSS indicar uma alta probabilidade de exploração para uma vulnerabilidade com uma pontuação CVSS relativamente baixa, as equipes de segurança poderão considerar priorizar essa vulnerabilidade em detrimento de outras que possam ter pontuações CVSS mais altas, mas uma probabilidade menor de exploração.
Simplifique a priorização de vulnerabilidades com o Intruder
Intruder é uma plataforma de segurança baseada em nuvem que ajuda as empresas a gerenciar sua superfície de ataque e identificar vulnerabilidades antes que possam ser exploradas. Ao oferecer monitoramento contínuo de segurança, gerenciamento de superfície de ataque e priorização inteligente de ameaças, o Intruder permite que as equipes se concentrem nos riscos mais críticos, ao mesmo tempo que simplifica a segurança cibernética.
 |
| Uma captura de tela da plataforma Intruder |
A Intruder está prestes a lançar um recurso de priorização de vulnerabilidades, desenvolvido pelo Exploit Prediction Scoring System (EPSS) – um modelo que aproveita o aprendizado de máquina para prever a probabilidade de uma vulnerabilidade ser explorada nos próximos 30 dias.
Em breve, você poderá visualizar as pontuações EPSS diretamente na plataforma Intruder, dando à sua equipe um contexto actual para uma priorização mais inteligente. Essas pontuações serão exibidas juntamente com o sistema de pontuação existente, que combina pontuações CVSS com informações da equipe de especialistas em segurança do Intruder para priorizar seus resultados de forma inteligente.
Cadastre-se agora para ficar por dentro do novo lançamento. Comece seu teste gratuito de 14 dias ou reserve um tempo para conversar e saber mais.
