FAQ

Il modello EPSS è sviluppato e mantenuto dalla comunità FIRST (Forum of Incident Response and Security Teams), in collaborazione con ricercatori, analisti di dati e professionisti della cybersecurity. Si tratta di un progetto aperto e collaborativo, i cui metodi sono documentati pubblicamente e i risultati aggiornati regolarmente.

Questo modello si basa su dati statistici massivi e tecniche di machine learning. È progettato per essere trasparente, riproducibile e accessibile gratuitamente, il che lo rende uno strumento affidabile e adatto alle esigenze operative dei team di sicurezza, anche al di fuori del perimetro americano o governativo.

I punteggi EPSS vengono aggiornati quotidianamente, riflettendo la natura dinamica delle minacce e dello sfruttamento delle vulnerabilità. In qualsiasi momento, un cambiamento nel panorama degli attacchi (pubblicazione di un exploit, discussione su un forum, rilevamento in honeypot) può far variare la probabilità che una CVE venga presa di mira.

Questo aggiornamento frequente rende l'EPSS uno strumento più reattivo del CVSS, i cui punteggi cambiano raramente una volta pubblicati. Per sfruttare appieno l'EPSS, si consiglia pertanto di integrare feed o API automatizzate per monitorare continuamente i punteggi.

Per i CISO e i team SOC, l'EPSS offre un supporto decisionale oggettivo e dinamico. Permette di filtrare le vulnerabilità rilevate dagli scanner in base alla loro probabilità di sfruttamento, alleggerendo così il carico dei team e migliorando la pertinenza degli avvisi. L'EPSS è particolarmente utile in ambienti in cui il volume di CVE è elevato e le risorse limitate.

Integrando l'EPSS negli strumenti di gestione delle vulnerabilità, SIEM o dashboard di sicurezza, i CISO possono comunicare meglio con la direzione priorizzando le azioni in base al rischio reale e misurabile, piuttosto che a un semplice punteggio teorico.

L'EPSS integra il CVSS apportando una dimensione temporale e comportamentale alla valutazione delle vulnerabilità. Il CVSS misura la gravità di una falla sulla base delle sue proprietà intrinseche (impatto, complessità, accessibilità), ma non dice nulla sulla probabilità reale che venga sfruttata. L'EPSS colma questa lacuna analizzando dati provenienti dal campo, come le tendenze di sfruttamento osservate negli honeypot, i motori di ricerca di vulnerabilità o i flussi di minacce.

Questa complementarità è preziosa per la gestione dei rischi: una falla può essere critica secondo il CVSS, ma non sfruttata (punteggio EPSS basso), o al contrario apparire benigna in teoria, ma molto utilizzata in attacchi automatizzati. Utilizzare i due punteggi insieme permette di stabilire priorità più pertinenti e conformi alla realtà del campo.