Priorizando Vulnerabilidades com EPSS, CVSS, VPR, ExPR, QVS e similares

Gestionar vulnerabilidades, zero-days, atualizações de Segurança e quaisquer outros remendos cotidianos normalmente não é tarefa trivial como por vezes não é bem digerida pelas equipes parceiras que assumirão a responsabilidade final pela ‘execução das correções’. Parceria neste momento promovendo o correto alinhamento entre os times sobre os benefícios, principalmente para a companhia e o negócio, é fundamental.

Vivemos num mundo digital onde manter-se 100% atualizado em todas as camadas e com todos os componentes que compõem uma determinado ecossistema tecnológico é verdadeiramente impossível, mais caótico e menos eficiente ainda a possibilidade se seu time estiver operando sem integrações contínuas em alguma plataforma de orquestração e sem indicadores de priorização em tempo real (principal assunto deste nosso artigo). Como referência, estes são indicadores (2023) de utilização de algumas plataformas comumente utilizadas pelo mercado e que podem ajudar na integração dos seus controles de Segurança. Dockers 64%, Kubernetes 23%, Terraforms 11,5%, Ansibles 9,5%, Puppets 1,9% e CHEFs 1,5%.

Mas, como toda maratona, é necessário um pequeno primeiro passo. Neste caso, recomendações que ele seja pequeno, gradual de acordo com seu momento, mas contínuo e muito certeiro nas priorizações. A ilustração abaixo, explana bem uma recomendação de trilha de acordo com os objetivos e nível de maturidade - ML.

CVSS4, Common Vulnerability Scoring System, embora bem conhecido, otimizado bastante em sua última versão e bem utilizado nos dias atuais, ainda é se utilizado de forma isolada, elemento complexador de ações e decisões rápidas envolvendo essa temática. Apenas como referência, existem mais 181k CVSS cadastrados – imagine todas essas possibilidades de desvios multiplicadas por cada ativos existente em sua companhia.

EPSS, Exploit Prediction Scoring System, vem para, não somente acelerar esse processo, como peneirar uma imensidão de desvios mais generalistas transformando-os em elementos mais previsíveis, priorizáveis e planejáveis. De forma generalista, EPSS preconiza que:

• Há um universo contínuo e recorrente de vulnerabilidades há serem corrigidas em todos os tipos de empresas e setores (seja vulnerabilidades do legado, novas, ainda desconhecidas ou desvios gerados de forma eterna por essa combinação de fatores)

• O assunto é super crítico, gerando por vezes ações imediatas, envolvimento de times multidisciplinares e muitas horas de planejamento sem garantia de estar atacando o que realmente deveria. Vale lembrar que o PCI-DSS, em testes de penetração, obriga que vulnerabilidades classificadas a partir de média presentes no escopo do CDE (Cardholder Data Environment) tenham tratamento considerado

• Em ambientes organizados, com um processo maduro e contínuo de VA, pesquisas indicam que boas empresas são capazes de corrigir entre 5-20% das vulnerabilidades por mês, nada muito mais que isso a não ser em regimes diferenciados e dedicados de “força tarefa”

• A partir dessa faixa útil, estudos do time do EPSS demonstraram que apenas um subconjunto dos desvios, entre 2-7% das vulnerabilidades totais publicadas, são efetivamente exploradas ‘na selva’ e deveriam ter atenção realmente priorizada

Embora não exista uma solução única, combinando esses extremos, fica claro a necessidade de definir boas técnicas de priorização, uma vez que os recursos são finitos e os volumes (legado, atual e futuro) tendem a crescer em velocidade e complexidade atualmente impossíveis de serem atendidos pelos atuais processos desintegrados e não-contínuos de ‘Patch & Vuln Mgmt’.

EPSS combina dados CVEs com indicadores, sensoriamento online e evidências de exploração real, transformando essa combinação de informações em prioridade e probabilidade (pontuada 0 e 1, respectivamente 0% e 100% em ordem crescente de importância - veja abaixo uma amostra oferecida pela API do projeto).

De forma resumida, EPSS é uma métrica de explorabilidade (estimando a probabilidade por atividade real de exploração numa determinada janela de tempo), sem levar em consideração qualquer variável de proteção ou compensação extra que você tenha em seu ambiente. Não é e não deve ser utilizado como um cenário completo de risco, mas pode ser usado como um dos artefatos de entrada em sua análise de risco. Como todo modelo, tem suas combinações de uso com seus respectivos prós e contras.

Está com centenas de vulnerabilidades com classificação alta e está na dúvida de qual/quais tratar primeiro? Hora de considerar e usar EPSS (ou similar utilizado por outras plataformas, geralmente utilizando EPSS como calculadora-base). Algumas ferramentas até usam seu próprio modelo de ‘rating’ interno, porém parte delas continuam usando uma combinação estática dos mais comuns sem possibilidade de inserção de uma componente dinâmica (como a importância ou criticidade daquele ativo considerando as particularidades de negócio de cada companhia – o chamado business-sense, normalmente capturado diretamente no inventário/CMDB a partir da correta classificação do ativo).

Em rápida consulta, VPR Tenable, QVS Qualys e ExPR CrowdStrike nos pareceu bem similar aos fundamentos utilizados pelo EPSS, com pequena mudança nos números de ‘dias de monitoramento em campo’ e, provavelmente, nas fontes de inteligência de cada empresa e sensores públicos necessários para a construção de cada um dos scores. Algumas empresas mencionam a utilização de 150+ fontes de dados e parceiros externos, mas é fato que independente do modelo/sigla, a proposta criada pelo EPSS (e utilizada por outros) é sem dúvida uma maneira fácil e rápida de reduzir o esforço e acertar mais alvos relevantes.

Boa sorte em sua jornada de Gestão Contínua de Vulnerabilidades e, em caso de dúvidas ou necessidade de ajuda com o assunto, ferramentas, integração com riscos ou indicadores, a OmniSec está à disposição.