FAQ

Nein, EPSS ersetzt CVSS nicht: Die beiden Systeme sind komplementär. CVSS bietet eine strukturelle Messung des Schweregrads, die nützlich ist, um die potenziellen Auswirkungen einer Schwachstelle zu verstehen. EPSS hingegen bietet eine Verhaltens- und Vorhersagemessung, die sich auf die Wahrscheinlichkeit einer tatsächlichen Ausnutzung konzentriert.

Zusammen ermöglichen diese beiden Scores eine genauere Risikobewertung, sowohl theoretisch als auch operativ. Viele Unternehmen verfolgen einen hybriden Ansatz, indem sie beispielsweise nur Schwachstellen mit einem CVSS ≥ 7 und einem EPSS ≥ 0,5 behandeln oder Risikomatrizen verwenden, die mit diesen beiden Indikatoren angereichert sind.

Ja, immer mehr Organisationen nutzen den EPSS als vorrangiges Kriterium, um zu entscheiden, welche Schwachstellen zuerst behoben werden sollen, insbesondere wenn sie mit einer großen Anzahl von zu behebenden Fehlern konfrontiert sind. Das Beheben aller CVEs mit einem hohen CVSS-Score kann kostspielig und ineffizient sein, insbesondere wenn einige nie ausgenutzt werden. Der EPSS ermöglicht es daher, die Ressourcen auf die wirklich gefährlichen Fehler zu konzentrieren.

Einige Sicherheitsrichtlinien beinhalten inzwischen Aktionsschwellenwerte, die auf dem EPSS basieren, z. B.: „Beheben Sie jede Schwachstelle mit einem EPSS-Score > 0,7 innerhalb von 48 Stunden“. Dieser pragmatische Ansatz ermöglicht es, die Behebung dort zu beschleunigen, wo sie am nützlichsten ist, und gleichzeitig ungerechtfertigte Unterbrechungen zu begrenzen.

EPSS steht für Exploit Prediction Scoring System, was übersetzt Exploit-Vorhersage-Bewertungssystem bedeutet. Es handelt sich um ein probabilistisches Modell, das jeder Schwachstelle (in der Regel durch eine CVE-ID identifiziert) eine Wahrscheinlichkeit zuweist, innerhalb von 30 Tagen nach ihrer Beobachtung ausgenutzt zu werden.

Das Ziel von EPSS ist es, andere Bewertungssysteme (wie CVSS) zu ergänzen, indem es eine dynamische und kontextbezogene Ebene hinzufügt, die auf realen Exploit-Daten basiert, die in freier Wildbahn beobachtet wurden. Dies ermöglicht es Unternehmen, ihre Korrekturmaßnahmen besser zu priorisieren, basierend auf dem tatsächlichen Exploit-Risiko.

Das EPSS-Modell wird von der FIRST-Community (Forum of Incident Response and Security Teams) in Zusammenarbeit mit Forschern, Datenanalysten und Cybersicherheitsexperten entwickelt und gepflegt. Es handelt sich um ein offenes und kollaboratives Projekt, dessen Methoden öffentlich dokumentiert und dessen Ergebnisse regelmäßig aktualisiert werden.

Dieses Modell basiert auf massiven statistischen Daten und Techniken des maschinellen Lernens. Es ist transparent, reproduzierbar und kostenlos zugänglich konzipiert, was es zu einem zuverlässigen Werkzeug macht, das auf die operativen Bedürfnisse von Sicherheitsteams zugeschnitten ist, auch außerhalb des amerikanischen oder staatlichen Bereichs.

EPSS ergänzt das CVSS, indem es der Bewertung von Schwachstellen eine zeitliche und verhaltensbezogene Dimension hinzufügt. Das CVSS misst die Schwere einer Schwachstelle auf der Grundlage ihrer intrinsischen Eigenschaften (Auswirkungen, Komplexität, Zugänglichkeit), sagt aber nichts über die tatsächliche Wahrscheinlichkeit ihrer Ausnutzung aus. EPSS schließt diese Lücke, indem es Daten aus dem Feld analysiert, wie z. B. Exploitationstrends, die in Honeypots, Suchmaschinen für Schwachstellen oder Bedrohungsfeeds beobachtet werden.

Diese Komplementarität ist für das Risikomanagement von unschätzbarem Wert: Eine Schwachstelle kann laut CVSS kritisch sein, wird aber nicht ausgenutzt (niedriger EPSS-Score), oder sie erscheint theoretisch harmlos, wird aber in automatisierten Angriffen häufig verwendet. Die gemeinsame Verwendung beider Scores ermöglicht es, relevantere Prioritäten festzulegen, die der Realität vor Ort entsprechen.

Für CISOs und SOC-Teams bietet EPSS eine objektive und dynamische Entscheidungshilfe. Es ermöglicht das Filtern von Schwachstellen, die von Scannern erkannt wurden, basierend auf ihrer Wahrscheinlichkeit der Ausnutzung, was die Arbeitslast der Teams reduziert und die Relevanz der Warnmeldungen verbessert. EPSS ist besonders nützlich in Umgebungen, in denen das Volumen an CVEs hoch und die Ressourcen begrenzt sind.

Durch die Integration von EPSS in Tools für das Schwachstellenmanagement, SIEM oder Sicherheits-Dashboards können CISOs besser mit der Geschäftsleitung kommunizieren, indem sie Maßnahmen auf der Grundlage des tatsächlichen und messbaren Risikos priorisieren, anstatt auf der Grundlage einer einfachen theoretischen Bewertung.

Um festzustellen, ob eine CVE aktiv ausgenutzt wird, können verschiedene Informationsquellen konsultiert werden. Die zuverlässigste ist die KEV-Datenbank (Known Exploited Vulnerabilities), die von der CISA gepflegt wird und CVEs auflistet, deren Ausnutzung in freier Wildbahn bestätigt wurde. Sie wird regelmäßig aktualisiert und häufig verwendet, um Korrekturprioritäten festzulegen. Diese Informationen sind direkt auf unserer Website CVE Find zugänglich.

Man kann sich auch auf den EPSS-Score stützen, der die Wahrscheinlichkeit der Ausnutzung einer CVE innerhalb von 30 Tagen nach ihrer Veröffentlichung auf der Grundlage von realen Daten schätzt. Schließlich können auch Threat-Intelligence-Tools, CERT-Berichte oder Sicherheitsbulletins von Herstellern darauf hinweisen, ob eine Schwachstelle derzeit von Angreifern ausgenutzt wird.

EPSS-Scores werden täglich aktualisiert, was die dynamische Natur von Bedrohungen und der Ausnutzung von Schwachstellen widerspiegelt. Jederzeit kann eine Änderung in der Angriffslandschaft (Veröffentlichung eines Exploits, Diskussion in einem Forum, Erkennung in Honeypots) die Wahrscheinlichkeit verändern, dass eine CVE angegriffen wird.

Diese häufige Aktualisierung macht EPSS zu einem reaktionsschnelleren Werkzeug als CVSS, dessen Scores sich nach der Veröffentlichung selten ändern. Um EPSS voll auszuschöpfen, wird daher empfohlen, automatisierte Feeds oder APIs zu integrieren, um die Scores kontinuierlich zu verfolgen.