EPSS vs CVSS: Apa Pendekatan Terbaik untuk Penentuan Prioritas Kerentanan?

EPSS vs CVSS: Apa Pendekatan Terbaik untuk Penentuan Prioritas Kerentanan?

Posted by : Admin , Sep 27, 2024
Banyak perusahaan yang mengandalkan Sistem Penilaian Kerentanan Umum (Common Vulnerability Scoring System/CVSS) untuk menilai tingkat keparahan kerentanan untuk penentuan prioritas. Meskipun skor ini memberikan beberapa wawasan tentang potensi dampak kerentanan, skor ini tidak memperhitungkan data ancaman dunia nyata, seperti kemungkinan eksploitasi. Dengan kerentanan baru yang ditemukan setiap hari, tim tidak memiliki waktu - atau anggaran - untuk disia-siakan untuk memperbaiki kerentanan yang sebenarnya tidak akan mengurangi risiko.

Baca terus untuk mengetahui lebih lanjut tentang perbandingan CVSS dan EPSS dan mengapa menggunakan EPSS adalah pengubah permainan untuk proses penentuan prioritas kerentanan Anda.
 

Apa itu penentuan prioritas kerentanan?

Prioritas kerentanan adalah proses mengevaluasi dan memberi peringkat kerentanan berdasarkan potensi dampak yang dapat ditimbulkannya terhadap organisasi. Tujuannya adalah untuk membantu tim keamanan menentukan kerentanan mana yang harus ditangani, dalam jangka waktu berapa lama, atau jika perlu diperbaiki sama sekali. Proses ini memastikan bahwa risiko yang paling kritis dimitigasi sebelum dapat dieksploitasi dan merupakan bagian penting dari manajemen permukaan serangan.

Dalam dunia yang ideal, tim keamanan akan dapat memperbaiki setiap kerentanan segera setelah ditemukan, tetapi hal itu tidak mungkin dan tidak efisien. Penelitian telah menunjukkan bahwa sebagian besar tim hanya dapat memulihkan sekitar 10-15?ri kerentanan terbuka mereka per bulan, itulah sebabnya memprioritaskan secara efektif sangat penting.

Pada akhirnya, membuat prioritas kerentanan dengan benar memastikan organisasi dapat memanfaatkan sumber daya mereka dengan sebaik-baiknya. Mengapa ini penting? Karena bisnis tidak mampu mengeluarkan uang untuk berbagai hal kecuali jika hal tersebut membuat perbedaan, dan manajemen risiko adalah tentang memastikan uang dihabiskan untuk benar-benar mengurangi risiko.
 

Keterbatasan CVSS untuk memprioritaskan kerentanan

Secara historis, salah satu cara paling umum yang digunakan organisasi untuk memprioritaskan kerentanan adalah dengan menggunakan skor dasar CVSS.

Skor dasar CVSS ditentukan oleh faktor-faktor yang konstan sepanjang waktu dan lingkungan pengguna, seperti kemudahan dan sarana teknis yang dapat digunakan untuk mengeksploitasi kerentanan dan konsekuensi dari eksploitasi yang berhasil. Faktor-faktor ini dikuantifikasi dan digabungkan untuk menghasilkan skor akhir antara 0 dan 10 - semakin tinggi skornya, semakin tinggi tingkat keparahannya.

Skor CVSS menawarkan garis dasar dan cara standar untuk menilai tingkat keparahan dan terkadang diperlukan untuk kepatuhan. Namun, skor ini memiliki keterbatasan yang membuat ketergantungan pada skor ini menjadi kurang efisien dibandingkan dengan mempertimbangkannya bersama dengan sumber data real-time.
 

Keterbatasan CVSS untuk penentuan prioritas kerentanan

Secara historis, salah satu cara paling umum yang digunakan organisasi untuk memprioritaskan kerentanan adalah dengan menggunakan skor dasar CVSS.

Skor dasar CVSS ditentukan oleh faktor-faktor yang konstan di seluruh waktu dan lingkungan pengguna, seperti kemudahan dan sarana teknis yang dapat digunakan untuk mengeksploitasi kerentanan dan konsekuensi dari eksploitasi yang berhasil. Faktor-faktor ini dikuantifikasi dan digabungkan untuk menghasilkan skor akhir antara 0 dan 10 - semakin tinggi skornya, semakin tinggi tingkat keparahannya.

Skor CVSS menawarkan garis dasar dan cara standar untuk menilai tingkat keparahan dan terkadang diperlukan untuk kepatuhan. Namun, skor ini memiliki keterbatasan yang membuat ketergantungan pada skor ini menjadi kurang efisien dibandingkan dengan mempertimbangkannya bersama dengan sumber data real-time.

Salah satu keterbatasan utama dari skor CVSS adalah bahwa skor tersebut tidak mempertimbangkan lanskap ancaman saat ini, seperti apakah suatu kerentanan sedang dieksploitasi secara aktif di alam liar. Artinya, kerentanan dengan skor CVSS yang tinggi belum tentu merupakan masalah paling kritis yang dihadapi organisasi. Ambil contoh CVE-2023-48795. Skor CVSS-nya saat ini adalah 5,9, yang berarti 'sedang'. Tetapi jika Anda mempertimbangkan sumber intelijen ancaman lainnya, seperti EPSS, Anda akan melihat kemungkinan besar akan dieksploitasi dalam 30 hari ke depan (pada saat artikel ini ditulis).

Hal ini menunjukkan pentingnya mengambil pendekatan yang lebih holistik terhadap penentuan prioritas kerentanan yang tidak hanya mempertimbangkan skor CVSS tetapi juga intelijen ancaman waktu nyata.
 

Meningkatkan penentuan prioritas dengan data eksploitasi

Untuk meningkatkan penentuan prioritas kerentanan, organisasi harus bergerak lebih dari sekadar skor CVSS dan mempertimbangkan faktor lain, seperti aktivitas eksploitasi yang teridentifikasi di alam liar. Sumber yang berharga untuk hal ini adalah EPSS, model yang dikembangkan oleh FIRST.
 

Apa itu EPSS?

EPSS adalah model yang memberikan estimasi harian mengenai probabilitas suatu kerentanan akan dieksploitasi di alam liar dalam 30 hari ke depan. Model ini menghasilkan skor antara 0 dan 1 (0 dan 100%), dengan skor yang lebih tinggi menunjukkan probabilitas eksploitasi yang lebih tinggi.

Model ini bekerja dengan mengumpulkan berbagai informasi kerentanan dari berbagai sumber, seperti National Vulnerability Database (NVD), CISA KEV, dan Exploit-DB, beserta bukti aktivitas eksploitasi. Dengan menggunakan pembelajaran mesin, ia melatih modelnya untuk mengidentifikasi pola-pola halus di antara titik-titik data ini, yang memungkinkannya untuk memprediksi kemungkinan eksploitasi di masa depan.
 

CVSS vs EPSS

Jadi, bagaimana tepatnya skor EPSS membantu meningkatkan prioritas kerentanan?

Diagram di bawah ini mengilustrasikan skenario di mana kerentanan dengan skor CVSS 7 atau lebih tinggi diprioritaskan untuk remediasi. Lingkaran biru mewakili semua CVE yang tercatat pada tanggal 1 Oktober 2023. Dengan warna merah, Anda dapat melihat semua CVE dengan skor CVSS yang dieksploitasi dalam 30 hari berikutnya.

Seperti yang Anda lihat, jumlah kerentanan yang dieksploitasi di alam liar mewakili sebagian kecil dari kerentanan dengan skor CVSS 7 atau lebih tinggi.

Mari kita bandingkan dengan skenario di mana kerentanan diprioritaskan berdasarkan ambang batas EPSS yang ditetapkan ke 10%.

Perbedaan yang mencolok antara kedua diagram di bawah ini adalah ukuran lingkaran biru, yang menunjukkan jumlah kerentanan yang perlu diprioritaskan. Hal ini memberikan gambaran tentang jumlah upaya yang diperlukan untuk setiap strategi prioritas. Dengan ambang batas EPSS 10%, upaya yang diperlukan jauh lebih rendah, karena kerentanan yang perlu diprioritaskan jauh lebih sedikit, sehingga mengurangi waktu dan sumber daya yang dibutuhkan. Efisiensi juga jauh lebih tinggi, karena organisasi dapat fokus pada kerentanan yang akan berdampak paling besar jika tidak ditangani terlebih dahulu.
 

Prioritas Kerentanan

Sumber asli: FIRST.org
Dengan mempertimbangkan EPSS saat memprioritaskan kerentanan, organisasi dapat menyelaraskan upaya remediasi mereka dengan lanskap ancaman yang sebenarnya. Misalnya, jika EPSS menunjukkan kemungkinan eksploitasi yang tinggi untuk kerentanan dengan skor CVSS yang relatif rendah, tim keamanan dapat mempertimbangkan untuk memprioritaskan kerentanan tersebut di atas kerentanan lain yang mungkin memiliki skor CVSS yang lebih tinggi tetapi kemungkinan eksploitasi yang lebih rendah.