Prioritizace zranitelností: Dál než jen skóre CVSS

Proč samotné CVSS nestačí

CVSS měří vnitřní závažnost zranitelnosti – jak špatná by mohla být v nejhorším případě. Neměří, jak pravděpodobné je zneužití, zda existuje veřejný exploit, co daný postižený prostředek dělá nebo zda kompenzační kontroly snižují riziko. Zranitelnost s CVSS 9.8 bez veřejného exploit v interním systému má menší prioritu než zranitelnost s CVSS 7.5 s aktivním exploit kitem, který cílí na internetové platební systémy.

EPSS: Systém pro predikci zneužití (Exploit Prediction Scoring System)

EPSS predikuje pravděpodobnost, že bude zranitelnost zneužita v reálném světě v průběhu následujících 30 dnů, na základě dat o zneužití v reálném světě. Skóre EPSS 0,97 znamená 97% pravděpodobnost zneužití. V kombinaci s CVSS pomáhá EPSS rozlišovat mezi teoretickou závažností a praktickým rizikem. CVEs s vysokým CVSS, ale nízkým EPSS, lze často odsunout na nižší prioritu. CVEs s mírným CVSS, ale vysokým EPSS by měly být urychleně řešeny.

SSVC: Kategorizace zranitelností specifická pro zúčastněné strany (Stakeholder-Specific Vulnerability Categorisation)

SSVC, vyvinuté organizací CISA a Carnegie Mellon, nahrazuje číselné skóre rozhodovacími stromy. Hodnotí stav zneužití (žádné, PoC, aktivní), technický dopad (částečný, úplný), prevalenci v rámci mise (minimální, podpůrná, zásadní) a produkuje doporučenou akci: Sledovat, Sledovat*, Věnovat pozornost nebo Jednat. SSVC produkuje akčnější výsledky než číselné skóre.

Kontextová prioritizace

Nejúčinnější prioritizace přidává váš specifický obchodní kontext: co daný postižený systém dělá? Jaká data uchovává? Je vystaven internetu nebo je interní? Jsou zavedeny kompenzační kontroly? Jaký je okruh dopadu v případě kompromitace? Tato kontextová analýza je oblastí, kde Penetrify's manuální expertní testování přidává největší hodnotu – testeři vyhodnocují zjištění v kontextu vašeho specifického prostředí a produkují hodnocení závažnosti, které odrážejí skutečné obchodní riziko spíše než teoretické skóre.

Praktický pracovní postup prioritizace

Krok 1: Filtrujte podle EPSS > 0,1 (zranitelnosti s významnou pravděpodobností zneužití). Krok 2: Seřaďte podle kritičnosti prostředku (vystaven internetu, citlivá data, generování příjmů). Krok 3: Zkontrolujte kompenzační kontroly, které snižují efektivní riziko. Krok 4: Aplikujte rozhodovací strom SSVC pro doporučenou akci. Krok 5: Přiřaďte časové osy pro nápravu na základě výsledné priority. Tento pracovní postup redukuje vašich 847 zjištění na 30–50, které skutečně vyžadují okamžitou pozornost.

Závěr

CVSS je výchozí bod, nikoli rámec pro prioritizaci. Přidejte EPSS pro pravděpodobnost zneužití, SSVC pro akční rozhodnutí a kontextovou analýzu pro obchodní relevanci. Penetrify's expertní testeři poskytují kontextovou prioritizaci, kterou automatizované skórování nemůže – protože vědět, že zranitelnost existuje, je méně důležité než vědět, zda je důležitá pro vaše podnikání.

Často kladené otázky

Co je to EPSS?

Exploit Prediction Scoring System (EPSS) predikuje pravděpodobnost, že bude zranitelnost zneužita v reálném světě během 30 dnů. Používá data o zneužití v reálném světě k rozlišení mezi teoretickou závažností a praktickým rizikem.

Mám přestat používat CVSS?

Ne – pokračujte v používání CVSS jako základ, ale nepoužívejte jej jako jedinou metriku prioritizace. Přidejte EPSS pro pravděpodobnost zneužití a kontextovou analýzu pro obchodní relevanci.