Le sore EPSS s'avère performant pour prédire les exploits, comme l'indique l'étude de Cyentia et FIRST
La recherche réalisée par Cyentia et FIRST sponsorisée par Tenable conclut que bien que l'exploitation des vulnérabilités soit très variable, le score EPSS est de plus en plus efficace pour prédire l'exploitation.
Le nombre de CVE publiées annuellement continue de croître, ce qui indique qu'il est essentiel de prévoir lesquelles requièrent l'intervention des équipes de gestion des vulnérabilités. La nouvelle recherche réalisée par le Cyentia Institute et le Forum of Incident Response and Security Teams (FIRST) détermine que le score EPSS (Exploit Prediction Scoring System) est un facteur utile grâce auquel les équipes de sécurité peuvent prendre des décisions avisées pour prioriser les vulnérabilités.
La recherche s'est attachée à explorer la durée, la prévalence et le volume de l'activité d'exploitation et d'analyser les commentaires recueillis sur les performances du score EPSS. Les résultats ont été regroupés dans le rapport inaugural, Une exploration visuelle de l'exploitation dans l'environnement réel. Le rapport fournit des statistiques et des analyses qui profiteront à la vaste communauté des utilisateurs en entreprise et aux produits de sécurité qui tirent parti du score EPSS. Dans ces deux blogs, nous examinons les principales conclusions et informations délivrées par la recherche. La partie 1 répond aux questions suivantes :
- Quelle est la proportion de vulnérabilités exploitées ?
- Quel est le modèle type de l'activité d'exploitation ?
- Quelle est la part d'exploitation au sein des entreprises/équipes ?
- Comment fonctionne l'EPSS pour prédire les exploitations ?
Quelle est la proportion de vulnérabilités exploitées ?
Cela semble incroyable, mais près de 250 000 CVE ont été publiées. Et ce nombre a augmenté à un taux de 16 % sur les sept dernières années. Personne n'a le temps ni les ressources pour répondre à toutes ces vulnérabilités, par conséquent identifier et prioriser les plus importantes est essentiel. Une étape cruciale de la priorisation est de connaître et prévoir le nombre des vulnérabilités qui sont exploitées.
Dans la figure 1, vous pouvez voir le cumul de 13 807 CVE avec une activité d'exploitation sur une certaine période à gauche, qui indique que le nombre des vulnérabilités exploitées connues est proche de 15 000. À droite, vous pouvez voir le nombre en pourcentage des CVE publiées pour la période, qui indique que 6 % de toutes les CVE publiées ont été exploitées, et que ce taux reste stable.
Figure 1 : vulnérabilités avec une activité d'exploitation
Quel est le modèle type de l'activité d'exploitation ?
Examinons maintenant la tendance type de l'activité d'exploitation, en fait il n'y en a pas !
La figure 2 montre l'activité d'exploitation des cinq différentes CVE en 2023. Chacune présente une activité d'exploitation unique :
- La CVE en haut a connu une exploitation courte et faible
- La deuxième CVE a connu une activité assez régulière pendant les jours de la semaine
- La troisième CVE a connu des tentatives d'exploit quotidiennes et hebdomadaires avec un pic à la mi-décembre
- La quatrième CVE a connu une exploitation quotidienne continue qui a été particulièrement élevée dans les trimestres 1 et 2
- Et la dernière CVE a connu une activité d'exploitation extrêmement élevée et constante
Que peut-on en conclure ? L'exploitation a différents niveaux d'intensité et de durée. Pour procéder efficacement à la priorisation des vulnérabilités, il est conseillé de ne pas se contenter de considérer « exploitée » comme variable binaire mais d'examiner d'autres variables comme l'intensité et la durée .
Figure 2 : disparité dans l'activité d'exploitation observée
Quelle est la part d'exploitation au sein des entreprises/équipes ?
Pour illustrer le fait de de ne pas considérer « exploitée » comme variable binaire, examinons la prévalence de l'exploitation observée dans une population de plus de 100 000 entreprises partout dans le monde. Il est surprenant d'observer que peu d'équipes constatent que des tentatives d'exploit ciblent une vulnérabilité précise. Les exploits ciblant plus d'une entreprise sur 10 sont rares (moins de 5 % !). Lorsque des vulnérabilités sont signalées comme étant exploitées dans l'environnement réel, elles sont en général considérées comme étant exploitées partout. Ce n'est cependant pas le cas, c'est pourquoi nous ne devons pas traiter tous les cas d'exploitation signalés de la même manière.
Figure 3 : prévalence de l'activité d'exploitation
Comment fonctionne l'EPSS pour prédire les exploitations ?
Selon le FIRST, le score EPSS est un « outil basé sur les données qui permet d'estimer la probabilité qu'une vulnérabilité logicielle soit exploitée en environnement réel ». Le score EPSS donne une estimation quotidienne sur les 30 prochains jours de toutes les CVE connues et fournit un score de probabilité entre 0 et 1 (ou entre 0 et 100 %) indiquant la probabilité d'une exploitation.
Comme l'indique la figure 4, la capacité à prévoir les exploitation a augmenté avec chaque version du score EPSS. Trois indicateurs mesurent les performances :
- Couverture : mesure l'exhaustivité de la priorisation de l'activité d'exploitation (% de priorisation de toutes les vulnérabilités exploitées connues)
- Efficacité : mesure la précision de la priorisation (% des vulnérabilités exploitées auxquelles il faut remédier en priorité)
- Effort : mesure la charge de travail globale créée par la stratégie de priorisation (% des vulnérabilités priorisés par rapport à toutes les vulnérabilités)
Selon la figure 4, vous pouvez constater que la remédiation des vulnérabilités avec un score EPSS de +0,6 produit une couverture de ~60 % avec 80 % efficacité, alors qu'un score EPSS de +0,1 produit une couverture de 80 % avec 50 % d'efficacité. La tolérance aux risques varie d'une entreprise à l'autre, ce qui a un impact sur les stratégies de priorisation. Les indicateurs de couverture, d'efficacité et d'effort permettent aux entreprises de prendre des décisions plus avisées sur les stratégies spécifiques à utiliser pour leurs programmes de gestion des vulnérabilités.
Figure 4 : les performance du score EPSS (Exploit Prediction Scoring System)
Cette recherche est vraiment intéressante. Et maintenant ?
Pour plus d'informations, téléchargez le rapport complet. Tirez parti du score EPSS dans Nessus 10.8.0 avec un essai gratuit ou achetez une licence. Ne manquez pas le deuxième blog !
Articles connexes
- Attack Surface Management
- Exposure Management
- Exposure Response
- Reports
- Research Reports
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning