Priorytetowanie luk w zabezpieczeniach: więcej niż tylko ocena CVSS

Dlaczego samo CVSS nie wystarcza

CVSS mierzy wrodzoną dotkliwość podatności – jak bardzo zła mogłaby być w najgorszym przypadku. Nie mierzy prawdopodobieństwa wykorzystania, tego, czy istnieje publiczny exploit, co robi dotknięty zasób, ani czy mechanizmy kompensacyjne zmniejszają ryzyko. Podatność o wskaźniku CVSS 9.8 bez publicznego exploita w systemie tylko wewnętrznym jest mniej pilna niż podatność o wskaźniku CVSS 7.5 z aktywnym zestawem exploitów atakującym systemy płatnicze dostępne z Internetu.

EPSS: System Prognozowania Wykorzystania Exploitów

EPSS przewiduje prawdopodobieństwo wykorzystania podatności w środowisku produkcyjnym w ciągu następnych 30 dni, na podstawie danych o wykorzystaniu w świecie rzeczywistym. Wynik EPSS wynoszący 0,97 oznacza 97% prawdopodobieństwo wykorzystania. W połączeniu z CVSS, EPSS pomaga odróżnić teoretyczną dotkliwość od praktycznego ryzyka. CVE o wysokim CVSS, ale niskim EPSS, często można potraktować mniej priorytetowo. CVE o umiarkowanym CVSS, ale wysokim EPSS, powinny być traktowane priorytetowo.

SSVC: Kategoryzacja Podatności Specyficzna dla Zainteresowanych Stron

SSVC, opracowany przez CISA i Carnegie Mellon, zastępuje numeryczne wyniki drzewami decyzyjnymi. Ocenia status exploita (brak, PoC, aktywny), wpływ techniczny (częściowy, całkowity), rozpowszechnienie w misji (minimalne, wspierające, niezbędne) i generuje zalecaną akcję: Monitoruj, Monitoruj*, Zwróć uwagę lub Działaj. SSVC generuje bardziej praktyczne wyniki niż numeryczne wskaźniki.

Priorytetyzacja Kontekstowa

Najskuteczniejsza priorytetyzacja dodaje specyficzny kontekst biznesowy: co robi dotknięty system? Jakie dane przechowuje? Czy jest dostępny z Internetu, czy tylko wewnętrzny? Czy istnieją mechanizmy kompensacyjne? Jaki jest promień rażenia w przypadku naruszenia bezpieczeństwa? Ta analiza kontekstowa jest tym, gdzie manualne testy eksperckie Penetrify's wnoszą największą wartość — testerzy oceniają wyniki w kontekście Twojego konkretnego środowiska, generując oceny dotkliwości, które odzwierciedlają rzeczywiste ryzyko biznesowe, a nie teoretyczne wskaźniki.

Praktyczny Proces Priorytetyzacji

Krok 1: Filtruj według EPSS > 0,1 (podatności o znaczącym prawdopodobieństwie wykorzystania). Krok 2: Uporządkuj według krytyczności zasobów (dostępne z Internetu, dane wrażliwe, generujące przychody). Krok 3: Sprawdź, czy istnieją mechanizmy kompensacyjne, które zmniejszają efektywne ryzyko. Krok 4: Zastosuj drzewo decyzyjne SSVC dla zalecanej akcji. Krok 5: Przypisz ramy czasowe naprawy na podstawie wynikowego priorytetu. Ten proces redukuje liczbę 847 znalezionych podatności do 30–50, które rzeczywiście wymagają natychmiastowej uwagi.

Podsumowanie

CVSS to punkt wyjścia, a nie framework priorytetyzacji. Nałóż EPSS dla prawdopodobieństwa wykorzystania, SSVC dla praktycznych decyzji i analizę kontekstową dla istotności biznesowej. Eksperci testerzy Penetrify's zapewniają priorytetyzację kontekstową, której nie może zapewnić automatyczne ocenianie – ponieważ wiedza o istnieniu podatności jest mniej istotna niż wiedza o tym, czy ma ona znaczenie dla Twojej firmy.

Najczęściej Zadawane Pytania

Co to jest EPSS?

System Prognozowania Wykorzystania Exploitów (Exploit Prediction Scoring System) przewiduje prawdopodobieństwo wykorzystania podatności w środowisku produkcyjnym w ciągu 30 dni. Wykorzystuje dane dotyczące wykorzystania w świecie rzeczywistym, aby odróżnić teoretyczną dotkliwość od praktycznego ryzyka.

Czy powinienem przestać używać CVSS?

Nie — kontynuuj używanie CVSS jako punktu odniesienia, ale nie używaj go jako jedynej metryki priorytetyzacji. Nałóż EPSS dla prawdopodobieństwa wykorzystania i analizę kontekstową dla istotności biznesowej.