FAQ

Il modello EPSS è sviluppato e mantenuto dalla comunità FIRST (Forum of Incident Response and Security Teams), in collaborazione con ricercatori, analisti di dati e professionisti della cybersecurity. Si tratta di un progetto aperto e collaborativo, i cui metodi sono documentati pubblicamente e i risultati aggiornati regolarmente.

Questo modello si basa su dati statistici massivi e tecniche di machine learning. È progettato per essere trasparente, riproducibile e accessibile gratuitamente, il che lo rende uno strumento affidabile e adatto alle esigenze operative dei team di sicurezza, anche al di fuori del perimetro americano o governativo.

Per sapere se una CVE è attivamente sfruttata, è possibile consultare diverse fonti di informazione. La più affidabile è la base KEV (Known Exploited Vulnerabilities) gestita dalla CISA, che elenca le CVE il cui sfruttamento è confermato in natura. Viene aggiornata regolarmente ed è spesso utilizzata per stabilire le priorità di correzione. Queste informazioni sono direttamente accessibili sul nostro sito Internet CVE Find.

Si può anche fare affidamento sul punteggio EPSS, che stima la probabilità di sfruttamento di una CVE nei 30 giorni successivi alla sua pubblicazione, basato su dati reali. Infine, strumenti di threat intelligence, rapporti di CERT o bollettini di sicurezza degli editori possono anche segnalare se una vulnerabilità è attualmente utilizzata dagli attaccanti.

I punteggi EPSS vengono aggiornati quotidianamente, riflettendo la natura dinamica delle minacce e dello sfruttamento delle vulnerabilità. In qualsiasi momento, un cambiamento nel panorama degli attacchi (pubblicazione di un exploit, discussione su un forum, rilevamento in honeypot) può far variare la probabilità che una CVE venga presa di mira.

Questo aggiornamento frequente rende l'EPSS uno strumento più reattivo del CVSS, i cui punteggi cambiano raramente una volta pubblicati. Per sfruttare appieno l'EPSS, si consiglia pertanto di integrare feed o API automatizzate per monitorare continuamente i punteggi.

EPSS significa Exploit Prediction Scoring System, che si traduce in sistema di valutazione della previsione di exploit. Si tratta di un modello probabilistico che assegna a ogni vulnerabilità (generalmente identificata da un identificativo CVE) una probabilità di essere sfruttata entro 30 giorni dalla sua osservazione.

L'obiettivo dell'EPSS è quello di completare gli altri sistemi di valutazione (come il CVSS) aggiungendo un livello dinamico e contestuale basato su dati reali di exploit osservati in natura. Ciò consente alle organizzazioni di dare una priorità più efficace ai propri sforzi di correzione basandosi sul rischio di exploit reale.

Sì, sempre più organizzazioni utilizzano l'EPSS come criterio prioritario per decidere quali vulnerabilità correggere per prime, in particolare quando si trovano ad affrontare un grande volume di falle da gestire. Correggere tutte le CVE con un punteggio CVSS elevato può essere costoso e inefficiente, soprattutto se alcune non vengono mai sfruttate. L'EPSS permette quindi di focalizzare le risorse sulle falle realmente pericolose.

Alcune politiche di sicurezza integrano ormai delle soglie d'azione basate sull'EPSS, ad esempio: “correggere ogni vulnerabilità con un punteggio EPSS > 0.7 entro 48 ore”. Questo approccio pragmatico permette di accelerare la remediation laddove è più utile, limitando al contempo le interruzioni non giustificate.

Per i CISO e i team SOC, l'EPSS offre un supporto decisionale oggettivo e dinamico. Permette di filtrare le vulnerabilità rilevate dagli scanner in base alla loro probabilità di sfruttamento, alleggerendo così il carico dei team e migliorando la pertinenza degli avvisi. L'EPSS è particolarmente utile in ambienti in cui il volume di CVE è elevato e le risorse limitate.

Integrando l'EPSS negli strumenti di gestione delle vulnerabilità, SIEM o dashboard di sicurezza, i CISO possono comunicare meglio con la direzione priorizzando le azioni in base al rischio reale e misurabile, piuttosto che a un semplice punteggio teorico.

L'EPSS integra il CVSS apportando una dimensione temporale e comportamentale alla valutazione delle vulnerabilità. Il CVSS misura la gravità di una falla sulla base delle sue proprietà intrinseche (impatto, complessità, accessibilità), ma non dice nulla sulla probabilità reale che venga sfruttata. L'EPSS colma questa lacuna analizzando dati provenienti dal campo, come le tendenze di sfruttamento osservate negli honeypot, i motori di ricerca di vulnerabilità o i flussi di minacce.

Questa complementarità è preziosa per la gestione dei rischi: una falla può essere critica secondo il CVSS, ma non sfruttata (punteggio EPSS basso), o al contrario apparire benigna in teoria, ma molto utilizzata in attacchi automatizzati. Utilizzare i due punteggi insieme permette di stabilire priorità più pertinenti e conformi alla realtà del campo.

No, l'EPSS non sostituisce il CVSS: i due sistemi sono complementari. Il CVSS fornisce una misura strutturale della gravità, utile per comprendere l'impatto potenziale di una vulnerabilità. L'EPSS, invece, fornisce una misura comportamentale e predittiva, incentrata sulla probabilità di sfruttamento reale.

Insieme, questi due punteggi consentono una valutazione più precisa del rischio, sia sul piano teorico che operativo. Molte aziende adottano un approccio ibrido, ad esempio trattando solo le vulnerabilità che hanno sia un CVSS ≥ 7 che un EPSS ≥ 0.5, oppure utilizzando matrici di rischio arricchite di questi due indicatori.