3.9 EPSS模型

EPSS旨在帮助安全从业者及其组织改进漏洞优先级排序工作。在当今的数字环境中，识别出的漏洞数量呈指数增长，这一数量因系统和社会的数字化程度提高、对数字产品的审查增加以及研究和报告能力的提高而不断增加。EPSS指出，组织每月只能修复5%到20%的漏洞。实际上，已发布的漏洞中只有不到10%被确认曾在野外被利用。长期以来的劳动力问题也在发挥作用，例如年度（ISC）2网络安全劳动力研究（www.isc2.org/News-and-Events/Press-Room/Posts/2021/10/26/ISC2-Cybersecurity-Workforce-Study-Sheds-New-Light-on-Global-Talent-Demand），显示全球网络安全专业人员短缺超过200万人（见图3.6）。

这些因素使得组织需要一个连贯且有效的方法来优先处理带来最高风险的漏洞，以避免浪费有限的资源和时间。EPSS模型通过创建漏洞在接下来的30天内被利用的概率评分来提供支持，评分范围在0到1之间，即0%到100%。为了提供这些评分和预测，EPSS使用来自各个来源的数据，如MITRE CVE列表、关于CVE的发布日期数据，以及来自AlienVault和Fortinet等安全供应商的野外利用活动观察数据。

EPSS团队发布的数据支持其使用不仅仅是CVSS评分，还包括EPSS评分数据的做法，以实现更有效的漏洞修复。例如，许多组织规定，CVSS评分达到或高于特定值（如7或以上）的漏洞必须修复。但这种方法仅基于CVSS评分优先处理漏洞修复，而不考虑漏洞是否已知被利用。将EPSS与CVSS结合使用更为有效，因为这样组织可以根据漏洞的严重性评分以及它们是否已知被积极利用来优先处理漏洞，使组织能够处理对其构成最大风险的CVE。

EPSS关注两个核心指标：效率和覆盖率。效率指标评估组织在使用资源修复漏洞方面的能力。EPSS指出，大部分组织的资源花在修复已知被利用的漏洞上比随机修复仅基于CVSS严重性评分的漏洞更有效。覆盖率指标评估被修复的漏洞中已被利用的漏洞的百分比。

为了展示其提出的方法的效率，EPSS在2021年使用CVSS v3基本评分、EPSS v1和EPSS v2数据进行了研究。他们考虑了一个30天的时间段，以确定CVE的总数、修复的CVE数量和被利用的CVE数量。正如图3.6所示，几个事实显而易见。首先，大多数CVE根本没有被修复。其次，被修复的CVE中，被利用的CVE仅是其中的一部分。这意味着组织没有修复大多数CVE，而在他们修复的CVE中，许多并没有被积极利用，可能不会带来最大的风险。这也表明，EPSS v2通过最大化被修复的已被利用的漏洞的百分比，进一步提高了漏洞修复工作的效率。当组织在网络安全从业人员方面面临资源挑战时，通过让资源集中在对组织构成最大风险的漏洞上，最大化投资回报至关重要。EPSS试图帮助组织更有效地利用有限的资源，提高降低组织风险的效果。