來自 Cyentia and FIRST 的研究表示,EPSS 在預測刺探利用的表現非常強勁
Tenable 贊助來自 Cyentia 和 FIRST 的研究,研究發現,雖然弱點刺探利用的類型差異很大,但 EPSS 預測刺探利用的能力卻越來越高。
每年公布的 CVE 數量持續攀升,也代表著預測哪些弱點需要弱點管理團隊的關注更加重要了。來自 Cyentia Institute 和 Forum of Incident Response and Security Teams (FIRST) 的最新研究發現,Exploit Prediction Scoring System (EPSS) 評分系統是一項有用的資訊,能協助團隊對弱點優先排序做出更明智的決策。
這分內容豐富的研究探討了刺探利用活動的時機、普遍性以及數量,同時也收集與分析了 EPSS 上的回饋意見。研究的成果就是這份首期的報告:「A Visual Exploration of Exploitation in the Wild」。該報告提供的資料點與分析能讓廣大且不斷成長的企業使用者和運用 EPSS 的安全產品社群獲益。在這個分成兩部分的部落格系列中,我們將探討該研究中的一些重要發現和精闢見解。第一部分的內容將可回答以下問題:
- 被刺探利用的弱點比例有多高?
- 刺探利用活動的典型模式是什麼?
- 刺探利用在企業間廣為散播的情況如何?
- EPSS 在預測刺探利用方面的能力表現如何?
被刺探利用的弱點比例有多高?
信不信由你,經公布的 CVE 數量已將近 25 萬個。而過去 7 年來,這個數字還以 16% 的速率增加。沒有人有時間或資源解決所有的弱點,也因此,判別和優先處理影響最大的弱點就變得至關重要。優先排序工作的一項關鍵步驟就是追蹤與預測會有多少弱點受到刺探利用。
在圖 1 中,您可以看到圖片左邊數年來累計共有 13,807 個 CVE 有刺探利用活動,這告訴我們已知受到刺探利用的弱點數量正逐步逼近 15,000 個。而在圖片右邊,您可以看到數年來已公布的 CVE 百分比,這告訴我們在所有已公布 CVE 當中,大約有 6% 曾受到刺探利用,而該比率維持得相當穩定。
圖 1:具有刺探利用活動的弱點
刺探利用活動的典型模式是什麼?
現在,讓我們看看刺探利用活動的典型模式…然而答案是:並沒有!
圖 2 顯示 2023 年來 5 種不同的 CVE 刺探利用活動。其中的每一種都有著獨特的刺探利用活動:
- 第一個經歷過刺探利用的 CVE 壽命很短暫、而且非常稀少。
- 第二個 CVE 在週間的刺探利用活動相對規律
- 第三個 CVE 每天、乃至於每週都經歷刺探利用攻擊嘗試,尖峰時期在 12 月中
- 第四個 CVE 顯示出每日持續的刺探利用,而在第一季至第二季特別高
- 而最後一個 CVE 經歷的刺探利用活動頻率則非常高且持續
所以,這代表什麼?這表示刺探利用有各種不同的強度和持續時間。因此,最好不要將「受到刺探利用」視為非零即一,而是深入探討每一個變數,例如強度和持續時間,以便進行優先排序的工作。
圖 2:觀察到的刺探利用活動的差異性很高
刺探利用在企業間廣為散播的情況如何?
說到不要將「受到刺探利用」視為非零即一,讓我們探討一下在分散世界各地、超過 100,000 家企業中觀察到的刺探利用攻擊的普遍性。我們很驚訝地發現,並沒有很多企業看到攻擊程式試圖鎖定某個特定弱點。攻擊超過 1/10 企業的攻擊程式非常罕見 (不到 5%)! 當弱點被提報受到猖獗利用時,通常人們會認為這些弱點到處受到攻擊。然而,事實卻非如此,這也代表我們不應將所有刺探利用報告一視同仁。
圖 3: 刺探利用活動的普遍性
EPSS 在預測刺探利用方面的能力表現如何?
根據 FIRST 表示,EPSS 是一個「以資料為導向的工作,能夠預測某個軟體弱點受到猖獗利用的可能性 (機率)。」EPSS 每日會對所有已知 CVE 進行未來 30 天的預測,並提供從 0 到 1 (或 0 到 100%) 的機率評分,指出刺探利用的可能性。
如圖 4 所示,每個版本的 EPSS 都顯示出它在預測刺探利用可能性的表現越來越強大。共有 3 項指標來衡量表現,包括:
- 涵蓋率: 衡量優先處理刺探利用活動的完整性 (正確優先處理所有已知受刺探利用的弱點之百分比)
- 效率:衡量優先排序的正確性 (實際受到刺探利用而被優先排序以進行修復的弱點之百分比)
- 工作負擔:衡量優先排序策略所產生的整體工作負載 (在所有弱點中,被判定須優先處理的弱點之百分比)
根據圖 4,您可以看到修復 EPSS 0.6 分以上的弱點,就能涵蓋約 60% 的弱點,效率達 80%,而修復 EPSS 0.1 分以上的弱點則變為 80% 的涵蓋率、效率 50%。每一家企業的風險承受度都不相同,這也會影響優先排序的策略。瞭解涵蓋率、效率和工作負擔指標,能協助企業對於他們用於弱點管理方案的特定策略做出更明智的決定。
圖 4:Exploit Prediction Scoring System (EPSS) 的表現
這項研究非常酷。該怎麼辦?
如欲瞭解更多精闢見解,歡迎下載完整報告。 利用免費試用或購買授權,充分運用 Nessus 10.8.0 中的 EPSS 支援功能。 敬請期待此部落格系列貼文的第二部分!
相關文章
- Attack Surface Management
- Exposure Management
- Exposure Response
- Reports
- Research Reports
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning