EPSS (利用预测评分系统)是为了测量特定的漏洞在野外被利用的可能性。EPSS 得分范围从0% (最低的利用概率)到100% (最高的利用概率)。此外,由于仅从概率得分很难推断出真正的意义,EPSS 还提供百分位排名; 百分位排名衡量 EPSS 概率相对于所有其他 EPSS 得分。概率和百分位数的组合可以实现高级的优先级输入。
EPSS 的存在是为了解决一个安全从业者非常清楚的问题: 我们正在淹没在 CVE 中(包括许多高严重性的 CVE) ,但大多数 CVE 实际上并不可利用。当然,这会使得对漏洞补救工作进行优先排序变得困难。
通过提供可利用性可能性的客观测量,EPSS 与其他外部数据点如 CVSS (通用漏洞评分系统)和 VEX (漏洞可利用性 exchange)一起,可以成为漏洞优先级排序的有价值的输入。
在本文中,我们将深入研究 EPSS 模型的细节,讨论它与 CVSS 和 VEX 的区别,并简要介绍如何将 EPSS 评分集成到一个全面的漏洞管理程序中。
EPSS历史与数据模型
EPSS 由事故应对和安全小组论坛(FIRST)与一系列公共和私有