漏洞評分哪家強，EPSS比CVSS更好嗎？

近年來，漏洞發現的速度和數量不斷提升，2021年平均每天發現55個漏洞，但其中只有很少一部分對企業構成較高風險。因此，漏洞修復優先級排序能力對于企業IT安全人員來說至關重要，甚至超過了漏洞修復能力。

通用漏洞掃描系統(CVSS)是全球最常被引用的安全漏洞嚴重性評分系統。然而，越來越多的人開始批評它并不能準確評估漏洞的真實風險，也無法用于確定修復優先級。甚至一些安全研究人員發現社交傳播數據統計（例如twitter曝光率）都能比CVSS更準確地反應漏洞的可利用性。

因此，很多安全人士開始呼吁使用漏洞利用預測評分系統(EPSS)，或將EPSS與CVSS結合起來提高漏洞指標的可操作性和效率。與CVSS一樣，EPSS同樣歸事件響應和安全團隊論壇(FIRST)管理。

EPSS的定義

EPSS（漏洞利用預測評分系統）利用CVE信息和真實世界的攻擊數據來預測“是否以及何時”漏洞會被利用。其優點是開放性和數據驅動的方法，宣稱能更好地評估漏洞野外利用的可能性。EPSS也有一個特殊興趣小組(SIG)提供支持并向公眾開放，供那些有興趣參與這項工作的人使用。

相比之下，CVSS的漏洞嚴重性評估則側重于漏洞的固有特征，并不能反映漏洞被利用的可能性，而后者對于漏洞管理專業人員來說是確定漏洞修復和緩解工作優先級的關鍵信息。

EPSS由研究人員、安全從業人員、學者和政府人員自愿推動和領導。FIRST擁有在組織認為合適的情況下更新模型和相關指南的權利。該小組擁有來自RAND、Cyentia、Virginia Tech和Kenna Security等組織的主席和創作者，以及來自其他各種組織的眾多成員。

EPSS有幾篇相關論文深入探討了相關主題，例如攻擊預測、漏洞建模和披露以及軟件利用。在其中一篇文章中，Kenna Security聯合創始人兼首席技術官Ed Bellis宣稱：“在最小化可利用性方面，利用代碼對漏洞進行優先排序比CVSS有效11倍。”

EPSS的模型

EPSS旨在幫助安全從業者及其組織改進漏洞優先級排序工作。當今數字環境中的漏洞數量呈指數增長，同時，由于社會數字化程度不斷提高、數字產品安全審核增加以及漏洞研究和報告能力的提高等因素，這一數字還在不斷增加。

EPSS聲稱，組織通常每月只能修復5%到20%的已發布漏洞。只有不到10%的已發布漏洞會在野外被利用。長期存在的安全人才短缺問題也不容忽視，根據ISC2網絡安全人才研究報告，全球網絡安全專業人才缺口已經超過200萬。上述因素意味著企業必須采取效率更高的方法來對高風險漏洞進行優先級排序，避免浪費有限的資源和時間。

今天，許多組織規定必須修復達到或超過特定CVSS分數（例如7）的漏洞。但是，僅根據CVSS分數來確定漏洞修復的優先級，而不是根據已知漏洞是否被利用來確定漏洞修復的優先級已經被廣泛證明準確性和效率很低。

EPSS宣稱將EPSS與CVSS相結合會更有效，因為這種方法會根據漏洞的嚴重等級以及漏洞是否被積極利用來綜合評定漏洞的優先級。這使組織能夠集中精力解決對組織構成最大風險的CVE。

EPSS團隊還發布了很多數據證明將CVSS與EPSS評分數據結合使用的方法比單純使用CVSS有效得多，能夠大大提高漏洞修復的效率。

EPSS模型的原理是通過生成漏洞未來30天內被利用的概率分數來進行可利用性預測，分數范圍在0和1或0%和100%之間。為了提供這些分數和預測，EPSS使用來自MITRE CVE列表等來源的數據、一些CVE數據（例如自發布以來的天數）以及來自AlienVault和Fortinet等安全供應商的漏洞野外利用活動的觀察結果。

EPSS重點兩個核心指標——效率和覆蓋率。效率指標評估組織解決已修復漏洞的百分比。EPSS指出，組織將大部分資源用于修復已知被利用漏洞的效率遠高于修復根據CVSS嚴重性評分篩選出來的“隨機漏洞”。覆蓋率則是指已修復的已利用漏洞的百分比。

為了證明其方法的效率，EPSS在2021年進行了一項為期30天的研究，對比評估了CVSS v3基本分數與EPSS v1和EPSS v2數據，用以確定CVE總數、修復的CVE數量和被利用的CVE數量。

研究表明，大多數CVE都沒有得到修復。其次，修復的被利用CVE數量只是修復的CVE總數的一個子集。這意味著企業一般只會修復一小部分已發布CVE，但在被（優先）修補的這一小部分CVE中，許多CVE其實并沒有被積極利用，也可能并不構成高風險。

該研究還表明，EPSS v2通過最大化已修復已利用漏洞的百分比，大大提高了漏洞修復工作的效率。當組織普遍面臨網絡安全人才短缺等資源挑戰時，通過將資源集中在對組織構成最大風險的漏洞上來最大化投資回報至關重要。EPSS顯然更有助于幫助組織更有效地利用有限資源提高漏洞管理效率。

EPSS的缺點

與CVSS類似，EPSS也遭到來自企業界和學術界的批評。卡內基梅隆大學軟件工程學院的博客發表過一篇名為“目前最好別依賴EPSS“的文章

文章提出的主要批評了EPSS的不透明性及其數據（依賴）和輸出問題，指出EPSS的開發流程、治理和目標受眾模糊。

EPSS依賴預先存在的CVE ID，這意味著它對軟件供應商、事件響應團隊或漏洞賞金獵人并沒有什么幫助，因為他們處理的許多漏洞還沒有CVE ID，有些甚至永遠不會。同樣，EPSS對處理零日漏洞也沒有任何幫助，因為后者隨著利用的進行才具備可見性并且沒有CVE ID。

文章還對EPSS的公開性和透明度表示擔憂。雖然EPSS自稱是一個開放和數據驅動的項目，并擁有一個公開的特殊興趣小組，但它和FIRST保留隨時更改站點和模型的權利，且無需做出任何解釋。甚至，即使是SIG成員也無法訪問底層EPSS模型使用的代碼或數據，對模型的監督或治理也無從談起。EPSS更新或修改模型的過程對特殊興趣小組和公眾都不透明。文章指出，EPSS的模型和數據可以從公共領域撤回，因為它由FIRST管轄和管理。

文章指出，EPSS關注的是漏洞在未來30天內被利用的可能性，但這種預測依賴一些基本信息，這包括NVD中現有的CVE ID以及關聯的CVSS v3向量值、與CVE ID的主動嘗試利用相關的IDS簽名、來自AlienVault或Fortinet的貢獻。

正如文章作者所指出的，只有10%的CVE ID漏洞附帶IDS簽名，這意味著90%的CVE ID漏洞存在被利用而未被發現的可能。

最后，EPSS在IDS傳感器和相關數據獲取方面容易對Fortinet和AlienVault產生依賴性。通過更廣泛的安全供應商社區的進一步參與，可以在一定程度上緩解這種情況。雖然來自Fortinet和AlienVault的數據很有用，但并不能反映全部威脅態勢，也不能取代有助于分析漏洞利用概率的其他主要安全供應商的觀點。

雖然以上都是非常中肯的批評，但不可否認的是，通過優先關注最有可能被利用的漏洞，提高漏洞管理效率并降低安全風險，EPSS給資源有限的企業帶來了一線曙光，有望大大減少安全團隊與開發團隊的摩擦。