EPSS vs. CVSS: What’s the Best Approach to Vulnerability Prioritization?
EPSS vs. CVSS: What’s the Best Approach to Vulnerability Prioritization?
EPSS enhances vulnerability prioritization by predicting real-world threats, enabling businesses to address critical risks efficiently.
thehackernews.com
- 취약점 우선순위 지정 개요
- 취약점 우선순위 지정은 조직에 미치는 영향을 기반으로 취약점을 평가하고 순위를 매기는 과정
- 목표는 보안 팀이 가장 위험한 취약점에 신속히 대응할 수 있도록 지원하는 것
- 모든 취약점을 해결할 수 없는 상황에서 리소스를 효율적으로 사용하기 위한 필수 요소
- CVSS의 한계
- CVSS(Common Vulnerability Scoring System) 기반의 우선순위 지정은 시간과 환경에 무관한 고정 요소로만 위험을 평가
- 취약점의 탐지 용이성과 성공적 공격의 영향을 기준으로 점수(0~10점)를 매김
- CVSS의 주요 한계는 실제 위협 데이터를 반영하지 않는 것
- 예시: CVE-2023-48795는 CVSS 5.9의 중간 위험 취약점으로 분류되지만, EPSS 데이터는 30일 이내 악용 가능성이 높다고 경고
- CVSS(Common Vulnerability Scoring System) 기반의 우선순위 지정은 시간과 환경에 무관한 고정 요소로만 위험을 평가
- EPSS란 무엇인가?
- EPSS(Exploit Prediction Scoring System)는 다음 30일 내에 특정 취약점이 실제로 악용될 가능성을 예측하는 모델
- 0~1 사이의 점수(또는 0~100%)로 표시되며, 점수가 높을수록 악용 가능성이 큼
- NVD, CISA KEV, Exploit-DB 등의 데이터와 기계 학습을 사용해 예측
- CVSS vs. EPSS 비교
- CVSS 점수는 취약점의 심각도를 평가하는 기준으로 사용되지만, 실제 악용 가능성을 고려하지 않음
- EPSS를 기반으로 한 우선순위 지정은 보다 적은 취약점을 대상으로 하고, 리소스 효율성이 높음
- CVSS 7점 이상 취약점의 경우, 실제로 악용되는 사례는 전체의 일부분에 불과
- EPSS 10% 이상 기준으로 우선순위를 지정하면, 우선순위 지정 대상 취약점의 수가 현저히 줄어듦
- 효율적인 우선순위 지정
- EPSS 점수를 참고하면 실제 위협 환경과 맞춘 우선순위 지정을 할 수 있음
- CVSS 점수가 높더라도 EPSS에 따른 악용 가능성이 낮으면, 다른 취약점에 리소스를 우선 투자하는 것이 더 효율적임
- 시사점
- EPSS를 활용해 취약점 우선순위 지정을 개선하는 것이 기업의 위험 관리에 더 효과적
- Intruder와 같은 플랫폼은 EPSS를 통해 취약점 악용 가능성을 예측하여 효과적인 우선순위 지정을 돕는 기능을 제공
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 텔레그램, 사용자 정보 제공 정책 변경: 범죄 수사 협조 강화 (0) | 2024.09.29 |
|---|---|
| 개인정보 공개 필요성에 대한 법원의 판단 (0) | 2024.09.29 |
| 개인정보 유출보다 더 많이 사용되는 DB 마케팅 방식 (3) | 2024.09.29 |
| 기아 차량, 번호판만으로 원격 제어 가능했던 취약점 발견 (0) | 2024.09.29 |
| 인기 높은 앱 속에 숨어서 퍼지고 있는 멀웨어, 네크로 (1) | 2024.09.28 |