Questo modello ML open source ti aiuterà a prevedere gli exploit di vulnerabilità .
La gestione delle vulnerabilità è notoriamente difficile . La maggior parte delle aziende affronta il campo minato delle minacce senza una strategia chiara su dove iniziare ad applicare le patch e su cosa necessita di priorità. Li conduce in una caccia all’oca selvaggia e inefficiente.
La ricerca mostra che le organizzazioni hanno solo la capacità di rimediare al 5-20% delle migliaia di vulnerabilità note ogni mese. Fortunatamente, solo il 2-5% di queste vulnerabilità viene sfruttato in natura. Ciò significa che la maggior parte delle organizzazioni può tenere il passo con le vulnerabilità più rischiose, purché sappiano quali sono rischiose e preferibilmente prima dell’evento di sfruttamento.
Un gruppo di esperti di sicurezza di interesse speciale, di cui sono un co-creatore unito ad altri 38 esperti, ha sviluppato uno strumento gratuito e open source, chiamato Exploit Prediction Scoring System (EPSS) per affrontare questo problema. Abbiamo presentato per la prima volta EPSS alla conferenza Black Hat 2019 e, a partire dalla prossima settimana, aggiungeremo il punteggio in tempo reale delle vulnerabilità e delle esposizioni comuni (CVE) man mano che vengono annunciate. Quindi, invece di aspettare settimane per vedere se una vulnerabilità viene sfruttata, questo strumento può servire come previsione per il potenziale di una vulnerabilità da sfruttare.
Ciò consentirà agli utenti di ottenere informazioni immediate senza dover raccogliere dati su un CVE altrove. EPSS utilizza un approccio open source e basato sui dati per quantificare il rischio di una particolare vulnerabilità, in modo da sapere esattamente quali richiedono l’attenzione più urgente. Il gruppo di interesse speciale EPSS continuerà a migliorare questo modello scalabile e ad aggiungere nuove fonti di dati.
EPSS ha prodotto punteggi di rischio per tutti gli oltre 71.000 CVE pubblicati dal 2017 e ora può aiutare i team di sicurezza a prevedere la probabilità che una vulnerabilità venga sfruttata nei 12 mesi successivi alla divulgazione pubblica.
Diamo un’occhiata più da vicino a come funziona EPSS e come è possibile utilizzarlo per dare priorità alle vulnerabilità man mano che si presentano.
Come vengono creati i punteggi
EPSS fornisce un modello basato su dati proprietari di Fortinet, Kenna Security, Reversing Labs, Proofpoint e Alienvault, insieme a dati di origine pubblica e fornitori di dati commerciali esterni. I dati più importanti sono quelli che identificano l’effettivo sfruttamento della vulnerabilità. Questo è fondamentale per il modello predittivo. Se sei interessato a contribuire a questi set di dati, contatta il nostro gruppo di lavoro, che incorpora costantemente nuove fonti.
Utilizzando dati pubblici come CVE di MITRE, National Vulnerability Database del NIST, punteggi CVSS e informazioni sull’enumerazione della piattaforma comune, l’EPSS legge il testo descrittivo per ogni CVE e cerca le espressioni multiparola comuni. Cerca anche in diversi repository il codice exploit. Da lì, crea un elenco di 191 tag codificati come funzionalità binarie per ogni vulnerabilità.
I punteggi di rischio sono calcolati sulla base di 15 variabili correlate allo sfruttamento. Tra le domande più importanti che EPSS considera sono il fornitore di hardware o software su cui vive la vulnerabilità e quanti collegamenti di riferimento ha la vulnerabilità. Più rumore c’è all’inizio, più è probabile che la vulnerabilità finisca per essere sfruttata. Le enumerazioni comuni della piattaforma non sono sempre disponibili quando viene pubblicata la vulnerabilità, ma non appena lo sono, i punteggi EPSS vengono aggiornati di conseguenza.
Cosa possono dirti i punteggi
Laddove l’EPSS è più utile è come risposta al rischio che emerge. Semplicemente non è possibile correggere il 100% di tutte le vulnerabilità che appaiono, né vorrai dedicare tempo e risorse a correggere vulnerabilità che non comportano rischi.
Il novanta percento delle organizzazioni fa ancora affidamento su CVSS come strumento di intelligence sulle minacce solitario, il che è problematico perché non solo il National Vulnerability Database fornisce pochi aggiornamenti ai punteggi CVSS, ma affronta solo la gravità delle vulnerabilità e non la probabilità che un CVE verrà effettivamente sfruttato. Anche se la tua organizzazione ha un team o un feed di intelligence sulle minacce, questi di solito rispondono alla domanda “di queste vulnerabilità, quali sono rischiose in questo momento?” EPSS ha il netto vantaggio di essere predittivo, il che ti consente di rispondere a questa domanda molto prima che qualcuno gliela chieda o che qualsiasi team di intelligence sulle minacce veda i dati.
Un punteggio EPSS basso può suggerire a un CIO che, nonostante vulnerabilità simili diventino storie di alto profilo, è improbabile che questa particolare venga sfruttata e quindi non vale la pena perdere tempo prezioso o rallentare i processi aziendali da affrontare. Un punteggio elevato, d’altra parte, può sollevare una bandiera rossa e richiedere una correzione prima che il prossimo titolo riguardi la tua azienda. Per lo meno, questo è un modo quantitativo per prendere decisioni sull’investimento del tempo generalmente fatte per istinto.
Rispetto a una strategia di correzione di tutte le vulnerabilità con punteggi CVSS di 9+, EPSS produce grandi guadagni in termini di efficienza. Quando si esamina la copertura (la percentuale di vulnerabilità sfruttate che sono state risolte) e l’efficienza (la percentuale di vulnerabilità risolte che sono state sfruttate), la ricerca mostra che le aziende che si concentrano su punteggi CVSS di 9+ possono correggere lo stesso numero di vulnerabilità sfruttate riducendo il loro sforzo del 78% utilizzando invece EPSS.
La maggior parte della gestione delle vulnerabilità viene eseguita in cicli settimanali o mensili, ma le vulnerabilità e gli attacchi sono monitorati in tempo reale e in tempo reale. Avere una risorsa più in tempo reale come EPSS crea una funzione che costringe il processo di gestione delle vulnerabilità ad affrontare tutto più vicino al tempo reale, che è prezioso quanto lo strumento stesso. Quando il CIO chiede “Cosa stiamo facendo per questa vulnerabilità?” avrai una risposta in tempo reale, invece di una ricerca all’interno di uno strumento di gestione delle vulnerabilità o di un database di gestione della configurazione (CMDB), che ti fornisce dati su un biglietto di una settimana.
Tuttavia, EPSS non dovrebbe essere un metodo di prioritizzazione autonomo. È progettato come un sistema di allerta precoce per le vulnerabilità emergenti e non aiuta a risolvere un debito di sicurezza o un arretrato. È inoltre necessario essere consapevoli di cosa espone esattamente la vulnerabilità, quanto sono accessibili tali risorse agli aggressori e la potenziale gravità di un attacco.
Un nuovo importante strumento
EPSS potrebbe livellare il campo di gioco incoraggiando più aziende ad adottare un approccio basato sul rischio per la gestione delle vulnerabilità. Potrebbe anche colmare una lacuna nelle infrastrutture pubbliche, fungendo da modello per ciò che il governo dovrebbe finanziare come sistema di allerta precoce sia per le agenzie governative che per le aziende del settore privato.
L’ordine esecutivo del presidente Biden sulla sicurezza informatica si concentra sulla condivisione delle informazioni e su strumenti migliori per rilevare e rispondere alle minacce alla sicurezza. Con più dati rispetto ad altri strumenti, EPSS può supportare tale missione con avvisi proattivi.
Sebbene non esista un’unica strategia di prioritizzazione ottimale, l’aggiunta di EPSS consente di risparmiare notevolmente risorse e consente di correggere in modo più efficiente le vulnerabilità che rappresentano un rischio per la propria organizzazione.