EPSS#
EPSS(Exploit Prediction Scoring System)は「今後30日以内にその脆弱性が悪用される確率」を表し、その脆弱性の脅威度を示すスコアであり、FIRSTにより公開されています。
FutureVuls は「2024年1月リリース」にて、EPSS の情報を取り込みました。
概要#
EPSSはスコア(Score)とパーセンタイル(Percentile)により構成されます。 それぞれの値の意味は以下の通りです。
| 項目 | 詳細 |
|---|---|
| スコア | 今後30日間でその脆弱性が悪用される確率を表します。 値が大きいほど悪用される確率が高く、脅威のある脆弱性となります。 |
| パーセンタイル | EPSSスコアが対象のそれより低い脆弱性の割合を表します。 値が大きいほどこの脆弱性が上位の脅威度を持つことを意味します。 |
EPSS はあくまで脆弱性の脅威度を定量的に示す指標であり、脆弱性によるリスクを表しているわけではないことに注意が必要です。 これは CVSS BaseScore が脆弱性の深刻度を表すだけで、実際のリスクは表していないことと同様です。
リスクの考え方については、こちらの「ブログ記事」をご参照ください。 EPSSスコアが高くても、影響が深刻でない、または自組織には悪影響がない、といったことがありえます。
トリアージ指標としての使い方の一例#
EPSS をトリアージ指標の1つとして扱う方法を紹介します。 基本的に SSVC などの脆弱性トリアージ指標を基本とし、その補足指標として EPSS を用いる方法が考えられます。
具体的には、以下のような方法です。
Immediateのさらなる優先順位付け#
Immediateに分類された脆弱性の中でも、EPSSスコアが高いものを優先的に対応します。
SSVC Priority で脆弱性への対応優先度を4段階に分類できますが、Immediate に分類された脆弱性の数が対応可能な数よりも多い場合がありえます。 その場合に、EPSSスコアを補足指標として、さらに Immediate の中でスコア順にソートして、対応優先度を決めるという判断に利用できます。
SSVCの判断を補完#
Scheduled や Defer に分類されたタスクの中で、EPSSスコアが高いものを対応対象とする。
稀に、SSVC Priority が Scheduled や Defer などと緊急度が高くないが、EPSS スコアが高い脆弱性がある場合がありえます。 これは、現時点では攻撃等が観測されていないが、一般に公開されていない攻撃情報や過去の経験に基づいてスコアが高く算出されることに基づきます。 なお、EPSS が機械学習モデルによるものであるため、このスコアの根拠はブラックボックスです。 「現時点ではリスクが高くないが、EPSS スコアが原因不明で高く、将来的な脅威度は高くなる可能性がある」と警戒し、先手を打って対応することができます。
EPSSをさらに学ぶ#
下記のブログで、EPSSの詳細や利用の仕方を解説しています。
| 種別 | url | 備考 |
|---|---|---|
| ブログ | EPSS入門 | |
| ブログ | EPSS徹底解説 | |
| ブログ | 脆弱性対応の戦略とフレームワークについての解説 |