Veel bedrijven vertrouwen op het Common Vulnerability Scoring System (CVSS) om de ernst van kwetsbaarheden te beoordelen voor prioritering. Hoewel deze scores enig inzicht bieden in de potentiële impact van een kwetsbaarheid, houden ze geen rekening met echte bedreigingsgegevens, zoals de waarschijnlijkheid van misbruik. Omdat er dagelijks nieuwe kwetsbaarheden worden ontdekt, hebben teams geen tijd – of budget – om te verspillen aan het oplossen van kwetsbaarheden die het risico niet daadwerkelijk verminderen.
Lees verder om meer te weten te komen over CVSS en EPSS en waarom het gebruik van EPSS een revolutie teweegbrengt in uw proces voor het prioriteren van kwetsbaarheden.
Wat is kwetsbaarheidsprioritering?
Vulnerability prioritization is het proces van het evalueren en rangschikken van kwetsbaarheden op basis van de potentiële impact die ze op een organisatie kunnen hebben. Het doel is om beveiligingsteams te helpen bepalen welke kwetsbaarheden aangepakt moeten worden, in welk tijdsbestek, of ze überhaupt opgelost moeten worden. Dit proces zorgt ervoor dat de meest kritieke risico’s worden beperkt voordat ze kunnen worden uitgebuit en is een essentieel onderdeel van attack surface management.
In een ideale wereld zouden beveiligingsteams elke kwetsbaarheid kunnen verhelpen zodra deze wordt ontdekt, maar dat is noch mogelijk noch efficiënt. Onderzoek heeft aangetoond dat de meeste teams slechts ongeveer 10-15% van hun open kwetsbaarheden per maand kunnen verhelpen, daarom is het zo belangrijk om effectief te prioriteren.
Uiteindelijk zorgt het goed prioriteren van kwetsbaarheden ervoor dat organisaties hun middelen optimaal kunnen benutten. Waarom is dit belangrijk? Omdat bedrijven het zich niet kunnen veroorloven om geld uit te geven aan dingen tenzij het een verschil maakt, en risicomanagement draait om ervoor te zorgen dat geld wordt uitgegeven aan het daadwerkelijk verminderen van risico’s.
De beperkingen van CVSS voor het prioriteren van kwetsbaarheden
Historisch gezien is het gebruik van CVSS-basisscores een van de meest voorkomende manieren waarop organisaties kwetsbaarheden prioriteren.
CVSS-basisscores worden bepaald door factoren die constant zijn in de tijd en gebruikersomgevingen, zoals het gemak en de technische middelen waarmee een kwetsbaarheid kan worden uitgebuit en de gevolgen van een succesvolle exploit. Deze factoren worden gekwantificeerd en gecombineerd om een uiteindelijke score tussen 0 en 10 te genereren: hoe hoger de score, hoe hoger de ernst.
CVSS-scores bieden een basislijn en een gestandaardiseerde manier om de ernst te beoordelen en zijn soms noodzakelijk voor naleving. Ze hebben echter beperkingen waardoor het minder efficiënt is om erop te vertrouwen dan ze te beschouwen naast realtime gegevensbronnen.
Een van de belangrijkste beperkingen van CVSS-scores is dat ze geen rekening houden met het huidige bedreigingslandschap, zoals of een kwetsbaarheid actief wordt uitgebuit in het wild. Dit betekent dat een kwetsbaarheid met een hoge CVSS-score niet per se het meest kritieke probleem is waarmee een organisatie te maken krijgt. Neem bijvoorbeeld CVE-2023-48795. De huidige CVSS-score is 5,9, wat ‘medium’ is. Maar als u andere bronnen van bedreigingsinformatie overweegt, zoals EPSS, ziet u dat de kans groot is dat deze binnen de komende 30 dagen wordt uitgebuit (op het moment van schrijven).
Dit laat zien hoe belangrijk het is om een holistischere benadering te hanteren bij het prioriteren van kwetsbaarheden. Hierbij wordt niet alleen rekening gehouden met CVSS-scores, maar ook met realtime bedreigingsinformatie.
Verbetering van de prioritering met exploitgegevens
Om de prioritering van kwetsbaarheden te verbeteren, moeten organisaties verder kijken dan CVSS-scores en andere factoren overwegen, zoals exploitatieactiviteit die in het wild is geïdentificeerd. Een waardevolle bron hiervoor is EPSS, een model dat is ontwikkeld door FIRST.
Wat is EPSS?
EPSS is een model dat een dagelijkse schatting geeft van de waarschijnlijkheid dat een kwetsbaarheid in de komende 30 dagen in het wild wordt uitgebuit. Het model produceert een score tussen 0 en 1 (0 en 100%), waarbij hogere scores een hogere waarschijnlijkheid van uitbuiting aangeven.
Het model werkt door een breed scala aan kwetsbaarheidsinformatie te verzamelen uit verschillende bronnen, zoals de National Vulnerability Database (NVD), CISA KEV en Exploit-DB, samen met bewijs van exploitatieactiviteit. Met behulp van machine learning traint het zijn model om subtiele patronen tussen deze datapunten te identificeren, waardoor het de waarschijnlijkheid van toekomstige exploitatie kan voorspellen.
CVSS versus EPSS
Hoe kunnen EPSS-scores bijdragen aan een betere prioritering van kwetsbaarheden?
Het onderstaande diagram illustreert een scenario waarin kwetsbaarheden met een CVSS-score van 7 of hoger prioriteit krijgen voor herstel. De blauwe cirkel vertegenwoordigt al deze CVE’s die op 1 oktober 2023 zijn geregistreerd. In het rood ziet u alle CVE’s met CVSS-scores die in de volgende 30 dagen zijn uitgebuit.
Zoals u kunt zien, vertegenwoordigt het aantal kwetsbaarheden dat in het wild is uitgebuit, een klein aantal van de kwetsbaarheden met een CVSS-score van 7 of hoger.
Laten we dit vergelijken met een scenario waarin kwetsbaarheden worden geprioriteerd op basis van een EPSS-drempelwaarde van 10%.
Een opvallend verschil tussen de twee diagrammen hieronder is de grootte van de blauwe cirkels, die het aantal kwetsbaarheden aangeven dat prioriteit moet krijgen. Dit geeft een idee van de hoeveelheid inspanning die nodig is voor elke prioriteringsstrategie. Met een EPSS-drempel van 10% is de inspanning aanzienlijk lager, omdat er veel minder kwetsbaarheden zijn om prioriteit aan te geven, waardoor de benodigde tijd en middelen worden verminderd. De efficiëntie is ook aanzienlijk hoger, omdat organisaties zich kunnen richten op kwetsbaarheden die de meeste impact zouden hebben als ze niet als eerste worden aangepakt.
Door EPSS te overwegen bij het prioriteren van kwetsbaarheden, kunnen organisaties hun herstelpogingen beter afstemmen op het werkelijke bedreigingslandschap. Als EPSS bijvoorbeeld een hoge waarschijnlijkheid van exploitatie aangeeft voor een kwetsbaarheid met een relatief lage CVSS-score, kunnen beveiligingsteams overwegen om die kwetsbaarheid prioriteit te geven boven andere die mogelijk hogere CVSS-scores hebben, maar een lagere waarschijnlijkheid van exploitatie.
Vereenvoudig de prioritering van kwetsbaarheden met Intruder
Intruder is een cloudgebaseerd beveiligingsplatform dat bedrijven helpt hun aanvalsoppervlak te beheren en kwetsbaarheden te identificeren voordat ze kunnen worden uitgebuit. Door continue beveiligingsbewaking, aanvalsoppervlakbeheer en intelligente prioritering van bedreigingen te bieden, stelt Intruder teams in staat zich te concentreren op de meest kritieke risico’s en tegelijkertijd cybersecurity te vereenvoudigen.
Intruder staat op het punt een functie voor het prioriteren van kwetsbaarheden uit te brengen, aangestuurd door het Exploit Prediction Scoring System (EPSS): een model dat gebruikmaakt van machine learning om te voorspellen hoe waarschijnlijk het is dat een kwetsbaarheid in de komende 30 dagen wordt uitgebuit.
Binnenkort kunt u EPSS-scores direct in het Intruder-platform bekijken, waardoor uw team een realistische context krijgt voor slimmere prioritering. Deze scores worden weergegeven naast het bestaande scoresysteem, dat CVSS-scores combineert met input van het beveiligingsteam van Intruder om uw resultaten op intelligente wijze te prioriteren.
Meld je nu aan om de nieuwe release voor te zijn. Start je gratis proefperiode van 14 dagen of boek wat tijd om te chatten en meer te weten te komen.