FAQ

Das EPSS-Modell wird von der FIRST-Community (Forum of Incident Response and Security Teams) in Zusammenarbeit mit Forschern, Datenanalysten und Cybersicherheitsexperten entwickelt und gepflegt. Es handelt sich um ein offenes und kollaboratives Projekt, dessen Methoden öffentlich dokumentiert und dessen Ergebnisse regelmäßig aktualisiert werden.

Dieses Modell basiert auf massiven statistischen Daten und Techniken des maschinellen Lernens. Es ist transparent, reproduzierbar und kostenlos zugänglich konzipiert, was es zu einem zuverlässigen Werkzeug macht, das auf die operativen Bedürfnisse von Sicherheitsteams zugeschnitten ist, auch außerhalb des amerikanischen oder staatlichen Bereichs.

EPSS ergänzt das CVSS, indem es der Bewertung von Schwachstellen eine zeitliche und verhaltensbezogene Dimension hinzufügt. Das CVSS misst die Schwere einer Schwachstelle auf der Grundlage ihrer intrinsischen Eigenschaften (Auswirkungen, Komplexität, Zugänglichkeit), sagt aber nichts über die tatsächliche Wahrscheinlichkeit ihrer Ausnutzung aus. EPSS schließt diese Lücke, indem es Daten aus dem Feld analysiert, wie z. B. Exploitationstrends, die in Honeypots, Suchmaschinen für Schwachstellen oder Bedrohungsfeeds beobachtet werden.

Diese Komplementarität ist für das Risikomanagement von unschätzbarem Wert: Eine Schwachstelle kann laut CVSS kritisch sein, wird aber nicht ausgenutzt (niedriger EPSS-Score), oder sie erscheint theoretisch harmlos, wird aber in automatisierten Angriffen häufig verwendet. Die gemeinsame Verwendung beider Scores ermöglicht es, relevantere Prioritäten festzulegen, die der Realität vor Ort entsprechen.

Für CISOs und SOC-Teams bietet EPSS eine objektive und dynamische Entscheidungshilfe. Es ermöglicht das Filtern von Schwachstellen, die von Scannern erkannt wurden, basierend auf ihrer Wahrscheinlichkeit der Ausnutzung, was die Arbeitslast der Teams reduziert und die Relevanz der Warnmeldungen verbessert. EPSS ist besonders nützlich in Umgebungen, in denen das Volumen an CVEs hoch und die Ressourcen begrenzt sind.

Durch die Integration von EPSS in Tools für das Schwachstellenmanagement, SIEM oder Sicherheits-Dashboards können CISOs besser mit der Geschäftsleitung kommunizieren, indem sie Maßnahmen auf der Grundlage des tatsächlichen und messbaren Risikos priorisieren, anstatt auf der Grundlage einer einfachen theoretischen Bewertung.

EPSS-Scores werden täglich aktualisiert, was die dynamische Natur von Bedrohungen und der Ausnutzung von Schwachstellen widerspiegelt. Jederzeit kann eine Änderung in der Angriffslandschaft (Veröffentlichung eines Exploits, Diskussion in einem Forum, Erkennung in Honeypots) die Wahrscheinlichkeit verändern, dass eine CVE angegriffen wird.

Diese häufige Aktualisierung macht EPSS zu einem reaktionsschnelleren Werkzeug als CVSS, dessen Scores sich nach der Veröffentlichung selten ändern. Um EPSS voll auszuschöpfen, wird daher empfohlen, automatisierte Feeds oder APIs zu integrieren, um die Scores kontinuierlich zu verfolgen.