EPSS是什么？有何優缺點？

通用漏洞評分系統（CVSS）是評估安全漏洞嚴重程度時最常被提及的評分系統。但是，由于不適合用來評估和排序這些漏洞的風險，該系統一直飽受批評。因此，有人提出采用漏洞利用預測評分系統（EPSS），或者綜合使用CVSS和EPSS二者，以此提升漏洞指標的可操作性和效率。類似于CVSS，EPSS由事件響應與安全團隊論壇（FIRST）管理。

EPSS是什么？

EPSS是個數據驅動的開放系統，旨在評估軟件漏洞遭利用的概率。CVSS則側重于漏洞的內在特征，最終得出漏洞嚴重性評分。僅嚴重性評分這一項指標并不能指征漏洞遭到利用的概率。而漏洞管理人員需要根據漏洞利用概率這一關鍵信息來安排漏洞修復和緩解工作，盡量提升自己在減小組織風險中的作用。

EPSS設置了一個向公眾開放的特別興趣小組（SIG），有意此項工作的人員皆可參與進來。EPSS由志愿者推動，研究人員、安全從業人員、學者和政府人員擔綱引導責任。盡管采用這種由行業協作驅動的方式，但FIRST確實有權在自己認為合適的時候更新EPSS模型及相關指南。該小組坐擁來自蘭德公司、Cyentia、弗吉尼亞理工大學和Kenna Security之類著名機構的主席和創立者，還吸納了各類組織機構的大量成員。EPSS的數篇相關論文深入研究了攻擊預測、漏洞建模與披露、軟件漏洞利用等相關主題。 

EPSS模型 

EPSS旨在幫助安全從業人員及其所屬組織改善漏洞優先級排序工作。當今數字世界，漏洞數量多如牛毛，而且由于系統和社會數字化程度的提高、數字產品審查力度的加強，以及研究和報告能力的提升等因素，漏洞數量還在不斷增加。

EPSS表示，各組織機構每個月通常僅能修復5%到20%的漏洞。已知遭在野利用的已披露漏洞不到10%。長期以來的勞動力短缺問題也有影響，比如年度(ISC)2網絡安全勞動力研究報告就指出：全球網絡安全專業人員短缺超200萬人。以上影響因素要求各組織機構采取有效方法合理排定漏洞優先級，優先處理可對自身造成巨大風險的漏洞，避免浪費有限的資源和時間。

EPSS模型旨在通過評定漏洞在未來30天內遭到利用的概率而提供一定支持，評分范圍在0（0%）~1（100%）之間。為提供這些評分和預測，EPSS利用MITRE CVE列表之類的數據源、曝出天數等CVE相關信息，以及AlienVault和Fortinet等安全供應商觀測到的在野漏洞利用活動情況。 

為支撐自己綜合利用CVSS評分和EPSS評分數據提高漏洞修復工作效率的方法，EPSS團隊公布了相關數據。例如，很多組織機構要求必須修復達到或高于特定CVSS評分（如7分或以上）的漏洞。然而，這種方法僅依靠CVSS評分決定漏洞修復優先級，而不考慮漏洞是否已知會遭到利用。將EPSS與CVSS相結合是更有效的方法，因為該方法確定漏洞優先級時既考慮到漏洞嚴重性評分，也參考漏洞是否已知遭到活躍利用。這么做使得組織機構能夠優先解決給自身帶來最大風險的CVE。 

EPSS側重兩項核心指標：效率和覆蓋率。效率考察組織機構在利用各項資源確定修復漏洞百分比方面的表現。EPSS指出，相比僅根據CVSS嚴重性評分隨機修復漏洞，大多數資源主要花在修復已知遭到利用的漏洞上更高效。覆蓋率則指的是遭利用漏洞被修復的百分比。 

為展現所提方法的效率，EPSS在2021年進行了一項調查研究，在30天里評估CVSS v3基礎評分和EPSS v1及EPSS v2數據，確定CVE總數、已修復CVE數量和遭利用CVE數量。

首先，這項調研顯示大多數CVE都沒得到修復。其次，已修復的遭利用CVE數量只是已修復CVE總數的一部分。也就是說，組織機構并沒有修復大多數CVE，而已修復的CVE中很多都沒遭到活躍利用，可能不會帶來很大風險。

這項研究還表明，通過提升遭利用漏洞被修復的百分比，EPSS v2進一步提高了漏洞修復工作的效率。組織機構遭遇網絡安全人員資源不足的挑戰時，很有必要通過將資源集中在給自身造成最大風險的漏洞上，來盡力提高自己安全投資的回報率。最后，EPSS試圖幫助組織機構更高效利用自身有限的資源，提高減小組織風險的有效性。 

EPSS的短板

與CVSS一樣，EPSS也有來自行業和學術界的各種批評。一篇題為《最好先別依賴EPSS》（Probably Don’t Rely on EPSS Yet）的文章就出自卡耐基梅隆大學軟件工程研究所（SEI）博客。SEI最初發布了題為《改進CVSS》的論文，對CVSS提出了一些尖銳的批評，EPSS便是在這篇論文發布后不久誕生的。 

文章提出的主要批評包括EPSS的不透明性和其數據與結果的問題。文章討論了EPSS在確定發展階段、治理及其目標受眾方面有多么不清晰。EPSS依賴已有CVE ID，意味著其對軟件供應商、事件響應團隊、漏洞賞金組織等實體無甚幫助，因為這些組織面對的很多漏洞都還沒有CVE ID，或者可能永遠不會被賦予CVE ID。而鑒于零日漏洞直到遭到利用了才會被發現，且同樣沒有CVE ID，EPSS在應對零日漏洞方面也沒什么用處。 

這篇博客文章的作者還提起了對EPSS開放性和透明度的關注。雖然EPSS號稱是一項數據驅動的開放性工作，并且設置了公開的SIG，但EPSS和FIRST依然留有無需解釋即隨時更改網站和模型的權利。甚至SIG成員都無權訪問底層EPSS模型所用代碼或數據。SIG本身不監管此模型，且模型更新或修改的過程并不公開，更別說SIG成員了。文章指出，由于EPSS是由FIRST管理的，EPSS模型和數據也可能從公共領域撤出。 

文章還指出，EPSS關注的是漏洞在未來30天內被利用的概率，但要預測這一點需要存在一些基本的東西。其中包括美國國家漏洞數據庫（NVD）中要存在一個CVE ID及相關CVSS v3向量值、與此CVE漏洞利用嘗試相關的入侵檢測系統（IDS）特征碼、AlienVault或Fortinet的貢獻，以及未來30天里的模型本身。

正如作者指出的，具有CVE ID的漏洞中僅10%附帶IDS特征碼，也就是說90%的CVE漏洞可能不會被檢測到漏洞利用。這也造成了在IDS傳感器和相關數據方面要依賴Fortinet和AlienVault。廣大安全供應商社區進一步參與進來或許能一定程度上緩解這個問題。雖然Fortinet和AlienVault的數據有所幫助，但這并未代表整個威脅態勢，也不代表可能對漏洞可利用概率有所貢獻的其他主流安全供應商的觀點。

批評有理有據，但使用EPSS可令組織機構有機會充分利用自身稀缺的安全資源來減小組織風險。重點放在最有可能遭到利用的漏洞上，組織機構做出的安全投資就大概率能緩解惡意攻擊，盡量減小對開發團隊的阻礙。