L'EPSS mostra solide prestazioni nel prevedere gli exploit, sostiene lo studio di Cyentia e FIRST

Una ricerca sponsorizzata da Cyentia e FIRST evidenzia come, per quanto lo sfruttamento delle vulnerabilità rimanga altamente variabile, l’EPSS sta rafforzando la capacità di prevederlo.

Il numero di CVE pubblicate annualmente continua a crescere, pertanto diventa sempre più cruciale prevedere quali di queste richiedono l'attenzione dei team di gestione delle vulnerabilità. La nuova ricerca di Cyentia Institute e FIRST (Forum of Incident Response and Security Teams) mostra come il sistema di valutazione EPSS (Exploit Prediction Scoring System) sia un input utile per aiutare i team a prendere decisioni informate quando assegnano la priorità alle vulnerabilità.

La ricerca dettagliata aveva l'obiettivo di esaminare la tempistica, la prevalenza e il volume dell'attività di sfruttamento, oltre a raccogliere e analizzare feedback sulle prestazioni dell'EPSS. Il risultato di questo lavoro e il report inaugurale, A Visual Exploration of Exploitation in the Wild. Il report fornisce punti dati e analisi di cui potranno usufruire l'ampia comunità in continua crescita di utenti aziendali e i prodotti per la sicurezza che utilizzano l'EPSS. In questa serie di blog in due parti, esamineremo i risultati e i dati più importanti della ricerca. La prima parte fornirà risposte alle domande seguenti:

• Quale percentuale di vulnerabilità è stata sfruttata?
• Qual è lo schema tipico dell'attività di sfruttamento?
• Quanto è diffuso lo sfruttamento tra le organizzazioni?
• Come si comporta l'EPSS nella sua capacità di prevedere gli exploit?

Quale percentuale di vulnerabilità è stata sfruttata?

Sembra incredibile, ma abbiamo pubblicato quasi un quarto di milione di CVE. Un umero che è cresciuto a un ritmo del 16% negli ultimi sette anni. Nessuno ha il tempo o le risorse per affrontare tutte queste vulnerabilità, pertanto identificare e assegnare la priorità a quelle più importanti è fondamentale. Un passaggio critico nelle attività di prioritizzazione è quello di tracciare e prevedere quante vulnerabilità vengono sfruttate. 

Nella Figure 1, puoi vedere un conteggio di 13.807 CVE con attività di sfruttamento nel tempo nella parte a sinistra, che suggerisce che il numero di vulnerabilità note sfruttate sta raggiungendo quota 15.000. Nella parte destra, puoi vedere il conteggio in percentuale delle CVE pubblicate nel tempo, che suggerisce come circa il 6% di tutte le CVE sono state sfruttate, con un ritmo che rimane costante. 

Figura 1:vulnerabilità con attività di sfruttamento 

Qual è lo schema tipico dell'attività di sfruttamento?

Andiamo ora a vedere un tipico modello di attività di sfruttamento… in realtà non ne esiste uno! 

La figura 2 mostra l'attività di cinque CVE differenti durante il 2023. Ognuna di queste ha un'attività di sfruttamento unica:

• La prima CVE ha subito uno sfruttamento di breve durata e piuttosto scarso
• La seconda CVE ha subito attività abbastanza regolare durante un giorno feriale 
• La terza CVE ha subito tentativi di exploit giornalieri o settimanali, con un picco a metà dicembre
• La quarta CVE mostra sfruttamento duraturo giornaliero, particolarmente alto nei periodi Q1-Q2 
• L'ultima CVE ha subito attività di sfruttamento molto elevata e a un ritmo costante 

Dunque, cosa significa tutto ciò? Poiché lo sfruttamento avviene con livelli diversi di intensità e durata, sarebbe saggio considerare "sfruttata" come una variabile binaria e approfondire invece altre variabili, come l'intensità e la durata, per poter assegnare la priorità.

Figura 2: isparità nell'attività di sfruttamento osservata 

Quanto è diffuso lo sfruttamento tra le organizzazioni?

A proposito di trattare "sfruttata" come una variabile binaria, diamo uno sguardo alla prevalenza dello sfruttamento osservato in un'ampia popolazione di oltre 100.000 organizzazioni distribuite in tutte il mondo. Un'osservazione inaspettata è che non molte organizzazioni vedono tentativi di exploit mirati a una vulnerabilità specifica. Gli exploit che colpiscono più di 1 organizzazione su 10 sono rari (meno del 5%). Quando vengono segnalate vulnerabilità sfruttate "in the wild", si pensa generalmente che siano sfruttate ovunque. Tuttavia, non è così e questo indica che non dobbiamo trattare tutti i report sullo sfruttamento nello stesso modo.

Figura 3: la prevalenza dell'attività di sfruttamento 

Come si comporta l'EPSS nella sua capacità di prevedere gli exploit?

Secondo FIRST, EPSS rappresenta "un tentativo basato sui dati di stimare la possibilità (probabilità) che una vulnerabilità del software venga sfruttata in the wild". EPSS effettua una stima giornaliera per i prossimi 30 giorni di tutte le CVE note e fornisce un punteggio di probabilità che va da 0 a 1 (o dallo 0 al 100%), che indica la probabilità di sfruttamento. 

Come evidenziato nella Figura 4, ogni versione di EPSS ha mostrato prestazioni più solide nella capacità di prevedere gli exploit. Tre metriche misurano le prestazioni: 

1. Copertura: misura la completezza di prioritizzazione dell'attività di sfruttamento (% di tutte le vulnerabilità sfruttate a cui è stata assegnata priorità correttamente) 
2. Efficienza: misura l'accuratezza di prioritizzazione (% delle vulnerabilità realmente sfruttate a cui è stata assegnata la priorità di correzione) 
3. Impegno: misura il carico di lavoro totale creato dalla strategia di prioritizzazione (% delle vulnerabilità a cui è stata assegnata la priorità tra tutte le vulnerabilità) 

In base alla Figura 4, è possibile osservare che la correzione delle vulnerabilità con un punteggio EPSS di 0.6 o più ottiene una copertura del 60% circa con l'80% di efficienza, mentre la correzione delle vulnerabilità con un punteggio EPSS di 0.1 o più passa all'80% di copertura e al 50% di efficienza. Ogni organizzazione stabilisce una diversa tolleranza al rischio, ciò influisce sulle strategie di prioritizzazione. Riuscire a capire le metriche di copertura, efficienza e impegno può aiutare le organizzazioni a prendere decisioni più informate sulle strategie specifiche che utilizzano nei loro programmi di gestione delle vulnerabilità. 

Figura 4:Le prestazioni di EPSS (Exploit Prediction Scoring System)

Questa ricerca è davvero interessante. E adesso?

Per maggiori informazioni, scarica il report completo. Usa il supporto EPSS in Nessus 10.8.0 con una prova gratuita o acquista la licenza. Continua a seguirci per la seconda parte di questo blog