Exploit Prediction Scoring System (EPSS)
EPSS, yang pertama kali diterbitkan di Black Hat USA 2019, adalah sistem yang dikelola oleh Grup Kepentingan Khusus (SIG) FIRST, seperti halnya CVSS. Seperti yang dicatat dalam whitepaper yang menyertai pembicaraan di Black Hat, para pencipta EPSS bertujuan untuk mengisi celah dalam kerangka kerja CVSS: memprediksi probabilitas eksploitasi berdasarkan data historis.
Versi asli EPSS menggunakan regresi logistik: teknik statistik untuk mengukur probabilitas hasil biner dengan mempertimbangkan kontribusi dari beberapa variabel independen terhadap hasil tersebut. Misalnya, jika saya ingin menggunakan regresi logistik untuk mengukur probabilitas terjadinya suatu peristiwa ya/tidak (misalnya, apakah seseorang akan membeli salah satu produk saya), saya akan mengumpulkan sampel besar dari data pemasaran historis pelanggan sebelumnya dan calon pelanggan. Variabel independennya mungkin mencakup hal-hal seperti usia, jenis kelamin, gaji, pendapatan yang dapat dibelanjakan, pekerjaan, lokasi, apakah seseorang sudah memiliki produk pesaing, dan seterusnya. Variabel dependen adalah apakah orang tersebut membeli produk atau tidak.
Model regresi logistik akan memberi tahu saya variabel mana yang memberikan kontribusi signifikan terhadap hasil tersebut, baik secara positif atau negatif. Jadi, misalnya, saya mungkin menemukan bahwa usia < 30 dan gaji > $50.000 berhubungan positif dengan hasilnya, tetapi sudah memiliki produk serupa = benar, tidak mengherankan, berhubungan negatif. Dengan mempertimbangkan kontribusi dari variabel-variabel ini, kita dapat memasukkan data baru ke dalam model dan mendapatkan gambaran tentang probabilitas seseorang ingin membeli produk tersebut. Penting juga untuk mengukur akurasi prediktif model regresi logistik (karena dapat menghasilkan positif palsu atau negatif palsu), yang dapat dicapai dengan menggunakan kurva Receiver Operating Characteristic (ROC).
Para pencipta EPSS menganalisis lebih dari 25.000 kerentanannya (2016 – 2018), dan mengekstrak 16 variabel independen yang menarik, termasuk vendor yang terpengaruh, apakah kode eksploitasi ada di dunia nyata (baik di Exploit-DB atau dalam kerangka eksploitasi seperti Metasploit dan Canvas), dan jumlah referensi dalam entri CVE yang diterbitkan. Ini adalah variabel independen; variabel dependen adalah apakah kerentanannya benar-benar dieksploitasi di dunia nyata (berdasarkan data dari Proofpoint, Fortinet, AlienVault, dan GreyNoise).
Penulis menemukan bahwa keberadaan eksploitasi yang dipersenjatai memberikan kontribusi positif yang paling signifikan terhadap model, diikuti oleh Microsoft sebagai vendor yang terpengaruh (kemungkinan karena banyaknya produk yang dikembangkan dan dirilis oleh Microsoft serta sejarahnya yang sering menjadi sasaran aktor ancaman); keberadaan kode bukti konsep; dan Adobe sebagai vendor yang terpengaruh.
Menariknya, penulis juga mencatat beberapa korelasi negatif, termasuk Google dan Apple sebagai vendor yang terpengaruh. Mereka menyimpulkan bahwa hal ini mungkin disebabkan oleh produk Google yang memiliki banyak kerentanannya, tetapi relatif sedikit yang dieksploitasi di dunia nyata, dan Apple sebagai platform tertutup yang historisnya belum banyak diserang oleh aktor ancaman. Karakteristik mendasar dari suatu kerentanannya (misalnya, informasi yang tercermin dalam skor CVSS) tampaknya tidak banyak mempengaruhi hasilnya – meskipun, seperti yang bisa diperkirakan, kerentanannya yang memungkinkan eksekusi kode jarak jauh lebih mungkin dieksploitasi dibandingkan, misalnya, bug kerusakan memori lokal.
EPSS awalnya diterapkan dalam spreadsheet. Ini memberikan perkiraan probabilitas bahwa suatu kerentanannya akan dieksploitasi dalam 12 bulan ke depan. Pembaruan berikutnya pada EPSS mengadopsi arsitektur terpusat dengan model pembelajaran mesin yang lebih canggih, memperluas set fitur (termasuk variabel seperti daftar kerentanannya publik, sebutan di Twitter / X, integrasi dengan alat keamanan ofensif, korelasi aktivitas eksploitasi dengan pangsa pasar vendor dan basis instalasi, serta usia kerentanannya), dan memperkirakan probabilitas eksploitasi dalam jangka waktu 30 hari alih-alih 12 bulan.
Sudahkah Anda mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat tertinggi dan paling banyak ditinjau?
Jika Anda tertarik, Anda dapat menghubungi Sophos Indonesia untuk mendapatkan informasi lebih detail mengenai solusi keamanan terbaik ini.
