Një nga sfidat kryesore në menaxhimin e dobësive është numri mbizotërues i dobësive të kombinuara me burime të kufizuara. Jo të gjitha dobësimet janë po aq të rrezikshme dhe jo të gjitha kërkojnë korrigjim urgjent. Për shembull, një dobësi me një rezultat të lartë CVSS mund të paraqesë pak rrezik në botën reale nëse probabiliteti i shfrytëzimit është jashtëzakonisht i ulët. Në artikullin e mëparshëm, unë prezantova një Në këtë artikull, unë do të demonstroj se si kam zbatuar mbështetjen EPSS dhe integruar këtë metrikë në proceset e mia të filtrimit dhe analizës për të përmirësuar përpjekjet e korrigjimit. zgjidhje pa kod për prioritetimin e dobësive duke përdorur Budibase Duke adoptuar prioritetizimin e bazuar në EPSS, ju mund të përmirësoni në mënyrë të konsiderueshme efektivitetin e strategjisë suaj të korrigjimit duke u fokusuar në dobësitë që me të vërtetë kanë rëndësi. Lajmi i mirë është se ju nuk keni nevojë për platforma të shtrenjta për të zbatuar prioritetet e bazuara në EPSS. Çfarë është EPSS dhe pse është e dobishme? Sistemi i parashikimit të vlerësimit të shfrytëzimit ( ) përfaqëson probabilitetin që një dobësi specifike do të shfrytëzojë brenda 30 ditëve të ardhshme, të shprehur si një përqindje. EPSS Versioni aktual i modelit është versioni 4, i cili u lirua më 17 mars 2025. projektit, dhe të dhënat janë të përditësuara çdo ditë dhe në dispozicion për shkarkim në format .csv. FIRST.org Një dobësi me një probabilitet shumë të ulët të shfrytëzimit paraqet një kërcënim më të vogël të menjëhershëm. Një dobësi me një probabilitet shumë të ulët të shfrytëzimit paraqet një kërcënim më të vogël të menjëhershëm. Kjo qasje rrit efikasitetin duke drejtuar burimet – si koha dhe përpjekjet – drejt dobësive që paraqesin një rrezik më të rëndësishëm, duke lejuar që dobësimet më pak kritike të trajtohen më vonë, qoftë kur ato bëhen më të rrezikshme ose kur burime shtesë janë në dispozicion. Për shembull, konsideroni dy dobësi: një me një rezultat CVSS prej 7.0 dhe një EPSS prej 0.01 (duke treguar një mundësi 1% të shfrytëzimit), dhe një tjetër me një rezultat CVSS prej 6.5 dhe një EPSS prej 0.91 (duke treguar një mundësi 91% të shfrytëzimit). Ndërsa CVSS tregon seriozitetin teorik, EPSS ofron njohuri për probabilitetin e shfrytëzimit të një vulnerabiliteti, duke siguruar kontekst të vlefshëm në lidhje me kërcënimet potenciale të botës reale. Siç ilustrohet në imazhin e mësipërm, kur zbatohet metoda EPSS me një kufi mbi 10%: Përpjekja reduktohet në vetëm 2.7%, dukshëm më e ulët se përpjekja e kërkuar me një prag CVSS prej 7 ose më shumë. Mbulimi arrin 63.2%, pak më i ulët se qasja CVSS, e cila është e dobishme në parandalimin e mbi-prioritizimit të dobësive më pak relevante. Efektiviteti qëndron në 65.2%, e cila është dukshëm më e lartë se ajo që arrihet me metodën CVSS 7+. Përveç vlerësimit EPSS, ekziston edhe një metrikë përqindje që tregon përqindjen (ose përqindjen) e dobësive me të njëjtën ose më të ulët probabilitetin e shfrytëzimit. Për shembull, nëse një dobësi ka një vlerësim EPSS prej 0.10 (10%) dhe një përqindje prej 88, kjo do të thotë se 88% e të gjitha dobësive të tjera kanë një vlerësim më të ulët EPSS. Përdorimi i pikës EPSS së bashku me përqindjen e saj lejon një përcaktim më të saktë të prioriteteve, veçanërisht kur merret me grupe të mëdha të të dhënave. https://www.first.org/epss/articles/prob_percentile_bins?embedable=true Është e rëndësishme të mbani mend se rezultati EPSS është një parashikim dhe jo një garanci e shfrytëzimit. Për më shumë informacion mbi mënyrën se si funksionon modeli, ju lutemi vizitoni faqen zyrtare: https://www.first.org/epss/model. Si kam implementuar EPSS në sistemin tim duke përdorur Budibase Për të zbatuar filtrimin bazuar në vlerën EPSS, së pari kam shkarkuar arkivin nga zyrtari faqen e internetit, e cila përmban rezultatet më të fundit të probabilitetit të shfrytëzimit për dobësitë.Ja një shembull i përmbajtjes nga skedari CSV në arkiv: first.org #model_version:v2025.03.14,score_date:2025-08-02T12:55:00Z cve,epss,percentile CVE-1999-0001,0.0142,0.79836 CVE-1999-0002,0.14818,0.94265 CVE-1999-0003,0.90339,0.99584 ... Tjetra, unë përditësova skripin Python që unë përdor për të eksportuar dobësitë nga zgjidhja VM. Parsing the EPSS and percentile values Converting these values into percentages by multiplying by 100 Rounding them to whole numbers Jo të gjitha CVEs janë të pranishme në grupin e të dhënave EPSS; për ato që nuk janë të përfshira, unë i caktoj vlerën e 99. Jo të gjitha CVEs janë të pranishme në grupin e të dhënave EPSS; për ato që nuk janë të përfshira, unë i caktoj vlerën e 99. Pas importimit të të dhënave në bazën e të dhënave, kam zbatuar tiparet e mëposhtme në Budibase: Një formë filtrimi për kufirin EPSS, të tilla si >10% Një mekanizëm për ripërtëritjen automatike të dashboards bazuar në pragun e zgjedhur Two control buttons: One for viewing the list of vulnerabilities in a pop-up window Another for exporting the results to a .csv file for further analysis or reporting. Pas kësaj, i përditësova pyetjet SQL në Budibase duke shtuar kushte për të filtruar sipas vlerës EPSS dhe percentile.Kjo lejoi kontroll fleksibël mbi shfaqjen e dobësive bazuar në pragun e zgjedhur. Shembull i një bllokuesi kushtetues: ... ( CASE WHEN {{epssthr}}::text IS NULL THEN TRUE ELSE epssScore >= {{epssthr}} END ) AND ( CASE WHEN {{epssrating}}::text IS NULL THEN TRUE ELSE epsspercentile >= {{epssrating}} END ) ... Këtu është një shembull i një pyetje SQL për bordin e kontrollit që tregon shërbimet më të larta të ndjeshme: SELECT COUNT(hostname) AS total, VulnerableEntity || ' ' || VulnerableEntityVersion AS VulnerableObject FROM mat_allassets WHERE osname ILIKE '%windows 20%' AND VulnerableEntity IS NOT NULL AND status = 'new' AND VulnerabilityIssueTime < CURRENT_DATE - {{days}}::interval AND ( CASE WHEN {{ sev }}::text IS NULL THEN TRUE ELSE severity = {{ sev }}::text END ) AND ( CASE WHEN {{expltbl}}::bool IS NULL THEN TRUE ELSE metrics ILIKE 'Exploitable: {{expltbl}}%'::text END ) AND ( CASE WHEN {{expltbl}}::bool IS NULL THEN TRUE ELSE metrics ILIKE 'Exploitable: {{expltbl}}%'::text END ) AND ( CASE WHEN {{netvector}}::bool IS NULL THEN TRUE ELSE metrics ILIKE '%HasNetworkAttackVector: {{netvector}}%'::text END ) AND ( CASE WHEN {{remedy}}::bool IS NULL THEN TRUE ELSE metrics ILIKE '%HasFix: {{remedy}}%'::text END ) AND ( CASE WHEN {{vulntrend}}::bool IS NULL THEN TRUE ELSE VulnerIsTrend = '{{vulntrend}}'::text END ) AND ( CASE WHEN {{hostimport}}::text IS NULL THEN TRUE ELSE HostImportance = '{{hostimport}}'::text END ) AND ( CASE WHEN {{epssthr}}::text IS NULL THEN TRUE ELSE epssScore >= {{epssthr}} END ) AND ( CASE WHEN {{epssrating}}::text IS NULL THEN TRUE ELSE epsspercentile >= {{epssrating}} END ) GROUP BY VulnerableObject ORDER BY total DESC LIMIT 10; Pas kësaj, kam përfshirë lidhjet e variablave nga UI në pyetjen SQL. . Artikulli paraprakPriorizimi i vulnerabilitetit Në fund, kam zhvilluar një aplikacion të thjeshtë dhe të lehtë për t'u përdorur që më lejon të vendos filtrat e prioritetit, duke përfshirë një kufi për Sistemin e Vlerësimit të Parashikimit të Shfrytëzimit (EPSS). Në screenshotin e mëposhtëm, kam vendosur kufirin e EPSS në 10 ose më shumë, kam zgjedhur dobësitë e tendencës më të vjetra se 14 ditë, dhe kam kërkuar praninë e një shfrytëzimi. Duke përdorur një prag EPSS (Exploit Predictive Scoring System) prej 10%, ne mund të mbulojmë 63.2% të dobësive të shfrytëzuara, duke arritur një efikasitet të korrigjimit prej 65.2%, duke përdorur më pak burime. Për të çaktivizuar filtrimin EPSS, thjesht vendos vlerën e kufirit në 0; atëherë filtri nuk do të aplikohet më. Për më tepër, nëse vendos një filtër serioziteti mbi mesataren, rezultatet zakonisht do të nxjerrin në pah dobësi të tilla si ekzekutime të largëta të kodit (RCEs), ekzekutime urdhërash ose SQL Injections. Fokusohuni aty ku ka rëndësi EPSS është një mjet i fuqishëm që përmirëson në mënyrë të konsiderueshme efikasitetin e prioritizimit të dobësive.Në vend që të “shkatërrojmë zjarret në mënyrë të verbër”, ne tani punojmë me qëllim, duke u përqendruar në çështjet më kritike së pari. Çdo infrastrukturë është unike dhe çdo sistem prioritizimi duhet të përshtatet për mjedisin specifik. Është gjithashtu thelbësore të mbani mend se çdo proces i menaxhimit të dobësive fillon me zbulimin dhe inventarizimin e aseteve. Pa një kuptim të qartë të asaj që ne jemi duke mbrojtur, çdo hap tjetër humbet rëndësinë e tij. Do të doja të dëgjoja mendimet tuaja në komentet: Do you use EPSS in your work?
