EPSS zeigt starke Leistung bei der Vorhersage von Exploits, zeigt eine Studie von Cyentia und FIRST

Tenable hat eine Studie von Cyentia und FIRST gesponsert, die zu dem Ergebnis kommt, dass die Ausnutzung von Schwachstellen zwar sehr variabel ist, EPSS aber immer besser in seiner Fähigkeit wird, eine Ausnutzung vorherzusagen.

Die Zahl der jährlich veröffentlichten CVEs steigt stetig an, sodass es immer entscheidender wird, vorherzusagen, welche davon die Aufmerksamkeit der Schwachstellen-Management-Teams erfordern. Eine neue Studie vom Cyentia Institute und dem Forum of Incident Response and Security Teams (FIRST) kommt zu dem Ergebnis, dass das Exploit Prediction Scoring System (EPSS) einen nützlichen Beitrag liefert, damit Teams fundiertere Entscheidungen über die Priorisierung von Schwachstellen treffen können.

Ziel der umfassenden Studie war es, den Zeitpunkt, die Häufigkeit und den Umfang von Ausnutzungsaktivitäten zu untersuchen sowie Feedback über die Leistung von EPSS zu sammeln und zu analysieren. Das Ergebnis dieser Bemühungen ist der erste Bericht, A Visual Exploration of Exploitation in the Wild. Der Bericht stellt Daten und Analysen bereit, von denen die große und stetig wachsende Community von Unternehmensanwendern sowie die Sicherheitsprodukte, die EPSS nutzen, profitieren werden. In dieser zweiteiligen Blog-Reihe befassen wir uns mit einigen der wichtigsten Ergebnisse und Erkenntnisse aus der Studie. Im ersten Teil werden die folgenden Fragen beantwortet:

• Wie hoch ist der Anteil der Schwachstellen, die ausgenutzt wurden?
• Was ist das typische Muster bei Ausnutzungsaktivitäten?
• Wie weit verbreitet ist Ausnutzung in Unternehmen?
• Wie gut schneidet EPSS bei der Vorhersage von Ausnutzung ab? 

Wie hoch ist der Anteil der Schwachstellen, die ausgenutzt wurden?

Kaum zu glauben, aber wir nähern uns einer Viertelmillion veröffentlichter CVEs. Und diese Zahl ist in den letzten sieben Jahren um jeweils 16 % gestiegen. Niemand hat die Zeit oder die Ressourcen, sich mit all diesen Schwachstellen zu befassen. Deshalb ist es so überaus wichtig, die wirklich relevanten Schwachstellen zu identifizieren und zu priorisieren. Ein entscheidender Schritt bei der Priorisierung besteht darin, zu verfolgen und vorherzusagen, wie viele Schwachstellen ausgenutzt werden. 

In Abbildung 1 ist links die Kumulierung von 13.807 CVEs mit Ausnutzungsaktivitäten im Zeitverlauf zu sehen. Daran können Sie erkennen, dass sich die Zahl der bekannten ausgenutzten Schwachstellen stetig auf 15.000 zubewegt. In der Grafik auf der rechten Seite sehen Sie die Anzahl als Prozentsatz der veröffentlichten CVEs im Zeitverlauf. Daraus geht hervor, dass etwa 6 % aller veröffentlichten CVEs ausgenutzt wurden und dass diese Rate konstant bleibt. 

Abbildung 1: Schwachstellen mit Ausnutzungsaktivität 

Was ist das typische Muster bei Ausnutzungsaktivitäten?

Werfen wir jetzt einen Blick auf das typische Muster der Ausnutzungsaktivitäten ... und siehe da, es gibt gar keins! 

Abbildung 2 zeigt die Ausnutzungsaktivitäten von fünf verschiedenen CVEs im Jahr 2023. Jede von diesen Schwachstellen hat ihre eigenen Ausnutzungsaktivitäten:

• Die oberste CVE wurde nur kurzzeitig und sehr geringfügig ausgenutzt
• Das zweite CVE verzeichnete ziemlich regelmäßige Aktivität an Wochentagen 
• Bei der dritten CVE gab es tägliche bis wöchentliche Ausnutzungsversuche, mit einer Spitze Mitte Dezember 
• Die vierte CVE verzeichnete eine anhaltende tägliche Ausnutzung, die in Q1-Q2 besonders hoch war
• Und bei der letzten CVE war die Ausnutzungsrate extrem hoch und konstant 

Was also bedeutet das alles? Nun, Ausnutzung findet in unterschiedlicher Intensität und Dauer statt. Es ist also ratsam, „ausgenutzt“ nicht als binäre Variable zu behandeln, sondern stattdessen weitere Variablen wie die Intensität und die Dauer zu untersuchen, um eine Priorisierung vorzunehmen.

Abbildung 2: Ungleichheit der beobachteten Ausnutzungsaktivität 

Wie weit verbreitet ist Ausnutzung in Unternehmen?

Apropos „ausgenutzt“ nicht als binäre Variable behandeln: Schauen wir uns einmal die Häufigkeit von Ausnutzung in einer großen Grundgesamtheit von über 100.000 Unternehmen auf der ganzen Welt an. Eine erstaunliche Beobachtung ist, dass nicht viele Unternehmen Exploit-Versuche verzeichnen, die auf eine bestimmte Schwachstelle abzielen. Exploits, von denen mehr als 1 von 10 Unternehmen betroffen ist, sind selten (es sind weniger als 5 %!).. Wenn Schwachstellen als „in freier Wildbahn“ ausgenutzt gemeldet werden, geht man im Allgemeinen davon aus, dass sie überall ausgenutzt werden. Dies ist jedoch nicht der Fall und zeigt, dass wir nicht alle Meldungen einer Ausnutzung gleich behandeln sollten.

Abbildung 3:Die Häufigkeit von Ausnutzungsaktivitäten 

Wie gut ist EPSS in der Lage, die Ausnutzung von Schwachstellen vorherzusagen?

Laut FIRST zufolge ist das EPSS „ein offenes, datengesteuertes Verfahren zur Einschätzung der Wahrscheinlichkeit, dass es bei einer Software-Schwachstelle zu einer aktiven Ausnutzung kommen wird.“ EPSS nimmt eine tägliche Einschätzung aller bekannten CVEs für die nächsten 30 Tage vor und gibt einen Wahrscheinlichkeitswert von 0 bis 1 (oder 0 bis 100 %) an, der die Wahrscheinlichkeit einer Ausnutzung angibt. 

Wie in Abbildung 4 dargestellt, hat jede Version von EPSS eine stärkere Leistung bei der Fähigkeit gezeigt, eine Ausnutzung vorherzusagen. Drei Metriken messen die Leistung: 

1. Abdeckung: Misst die Vollständigkeit bei der Priorisierung der Exploit-Aktivitäten (% aller bekannten ausgenutzten Schwachstellen, die korrekt priorisiert wurden) 
2. Effizienz: Misst die Genauigkeit der Priorisierung (% der Schwachstellen, die zur Behebung priorisiert wurden und tatsächlich ausgenutzt wurden) 
3. Aufwand: Misst die Gesamt-Arbeitsbelastung, die durch die Priorisierungsstrategie entstanden ist (% der priorisierten Schwachstellen im Verhältnis zu allen Schwachstellen)

Anhand von Abbildung 4 können Sie sehen, dass die Behebung von Schwachstellen mit einer EPSS-Bewertung von 0,6+ eine Abdeckung von ~60 % bei 80 % Effizienz erreicht, während die Behebung von Schwachstellen mit einer EPSS-Bewertung von 0,1+ zu einer Abdeckung von 80 % und 50 % Effizienz führt. Jedes Unternehmen unterscheidet sich in seiner Risikotoleranz, was sich auf die Priorisierungsstrategien auswirkt. Ein Verständnis der Metriken für Abdeckung, Effizienz und Aufwand kann Unternehmen dabei helfen, fundiertere Entscheidungen über die spezifischen Strategien zu treffen, die sie für ihre Vulnerability-Management-Programme einsetzen. 

Abbildung 4: Die Leistungsfähigkeit von EPSS (Exploit Prediction Scoring System)

Diese Forschung ist echt cool. Und nun?

Wenn Sie mehr wissen möchten, laden Sie den vollständigen Bericht herunter. Nutzen Sie die EPSS-Unterstützung in Nessus 10.8.0 im Rahmen einer kostenlosen Testversion oder erwerben Sie eine Lizenz. Halten Sie sich bereit für Teil zwei dieser Blog-Reihe!