EPSS: ¿Cuál es la probabilidad de que se explote una vulnerabilidad?

El indicador EPSS cuantifica la probabilidad de que una determinada vulnerabilidad sea explotada en los próximos 30 días

Todos los días surgen nuevas vulnerabilidades que, de ser explotadas, pueden provocar incidentes de seguridad que afecten a empresas, administraciones y ciudadanos de todo el mundo. Common Vulnerabilities and Exposures (CVE), un diccionario que recopila, sistematiza y estandariza la forma de denominar a todas las vulnerabilidades, incluye, actualmente, más de 200.000. El 10% de ellas son consideradas críticas por el Common Vulnerability Scoring System (CVSS). Además, el número de vulnerabilidades aumenta año a año. En 1999 se detectaron 894 vulnerabilidades, mientras que en 2022 se batió el récord histórico, tras descubrir 25.227 vulnerabilidades, tan solo en esos 12 meses.

Habida cuenta de este escenario, el Forum of Incident Response and Security Teams (FIRST), una organización que aglutina a equipos de ciberseguridad y respuesta a incidentes de todo el mundo, ha desarrollado el Exploit Preditction Scoring System (EPSS). Una herramienta basada en datos que sirve para estimar la probabilidad de que una vulnerabilidad sea explotada en los siguientes 30 días.

EPSS emplea datos permanentemente actualizados sobre amenazas y exploits para otorgar una puntuación de probabilidad entre 0 y 1, siendo 1 un 100% de probabilidad de explotación. De esta manera, EPSS ayuda a los profesionales de ciberseguridad y a las compañías de todo el mundo a conocer cuán probable es que una vulnerabilidad sea explotada en el corto plazo y puedan tomar medidas para mitigarlas antes de que se produzcan incidentes de seguridad.

A continuación, vamos a desgranar las claves del EPSS y a explicar por qué esta herramienta puede ser de gran utilidad a la hora de realizar la gestión de vulnerabilidades. De cara a priorizar las acciones conducentes a subsanar debilidades en los sistemas de una compañía.

1. ¿Qué es EPSS?

EPSS es un indicador gratuito y disponible para todas las empresas del mundo, que busca cuantificar la probabilidad real de que una vulnerabilidad sea explotada. Como venimos de indicar, existen más de 200.000 vulnerabilidades conocidas (sin contar todas las que no han sido descubiertas aún) y esta cifra crece año a año. Sin embargo, no todas presentan la misma probabilidad de ser explotadas en cada momento.

Por eso, EPSS es un sistema pensado para medir la probabilidad de explotación de una vulnerabilidad concreta en tiempo real. ¿Cómo lo hace? Empleando una de las áreas de la Inteligencia Artificial más en boga en la actualidad: el Machine Learning.

Gracias al Machine Learning, resulta posible detectar patrones en los datos con los que se alimenta el modelo del EPSS y realizar predicciones que permiten aventurar la probabilidad de explotación de cada una de las vulnerabilidades publicadas en CVE.

La IA y los datos se sitúan como los elementos capitales del sistema de puntuaje. Estos datos combinan dos tipologías de fuentes: información sobre las amenazas, procedente de CVE y datos de explotación de vulnerabilidades procedentes de la experiencia real de miles de compañías y profesionales de la ciberseguridad.

1.1. Incorporación de información actualizada y real

Precisamente, una de las claves del indicador EPSS es que el modelo sobre el que se sustenta se alimenta de forma continua con datos permanentemente actualizados y procedentes de casos reales. La última versión de EPSS (v3), publicada a principios de 2023, cuenta con 1477 funciones para realizar la predicción de la actividad de explotación de vulnerabilidades. Para construir estas funciones, el modelo de EPSS emplea hasta 11 fuentes de información.

La primera de ellas es, como no podía ser de otra forma, la lista de CVEs publicada por MITRE. Pero también podemos encontrarnos otras fuentes como el código de exploit publicado en Metasploit, ExploitDB y Github, información procedente de escáneres de seguridad como Jaeles, Intrigue o Nuclei, información de proveedores IT publicada en la National Vulnerability Database (NVD) e, incluso, menciones a la vulnerabilidad en redes sociales como Twitter.

Esta variedad de fuentes permite actualizar constantemente la información que se dispone sobre cada una de las vulnerabilidades conocidas y conseguir, de esta forma, predecir la probabilidad de explotación de manera realista, teniendo en cuenta los nuevos datos generados. De tal forma que las puntuaciones del indicador EPSS se recalculan cada vez que se produce un cambio en la información.

1.2. Un modelo para automatizar la predicción de explotación en los próximos 30 días

Como indicamos antes, la otra clave del indicador EPSS es el empleo de Machine Learning para analizar los datos, detectar patrones y realizar predicciones de explotación.

Esto se traduce en que el funcionamiento diario de EPSS está plenamente automatizado. De tal forma que se recopilan las fuentes de datos, se agregan al modelo y se puntúan, diariamente, todas las CVEs publicadas, basándose únicamente en los datos.

¿Con qué objetivo? Predecir, del 0 al 1, las probabilidades de que cada una de las vulnerabilidades sean explotadas durante los próximos 30 días. De tal forma que el indicador EPSS introduce una cuestión crucial en la gestión de vulnerabilidades: el tiempo.

EPSS no analiza las probabilidades de explotación en el medio o largo plazo, sino en el plazo de un mes. ¿Por qué es esto relevante? Hace hincapié en la urgencia y en el breve periodo de tiempo del que disponen las compañías para mitigar una vulnerabilidad que está a punto de ser explotada.

A estas alturas del artículo, muchos lectores se preguntarán «¿en qué consiste exactamente el modelo de EPSS?». FIRST no explica una a una las funciones del modelo, sino que sostiene que se trata de un modelo de observaciones del mundo real. Tal es así que la organización no comparte ni los datos que se emplean para realizar las predicciones de explotación, ni el modelo o el código fuente.

1.3. Cómo se obtiene la puntuación del indicador EPSS

En esta falta de transparencia en su funcionamiento, EPSS difiere sustancialmente del sistema de puntuaje CVSS, en el que son públicas las métricas y los valores que se emplean. Y, de hecho, se han desarrollado calculadoras para que las propias empresas puedan calcular la puntuación de una determinada vulnerabilidad de forma autónoma.

Mientras que la puntuación de EPSS solo se puede obtener a través de dos alternativas.

Por un lado, publica diariamente los datos generados por el modelo sobre todas las vulnerabilidades y un informe en el que se puede consultar en un solo vistazo la información más relevante sobre el panorama general de amenazas. Desde las CVEs publicadas en las últimas 48 horas, 30 días o 90 días, ordenadas por su puntuación en EPSS. Hasta las CVEs que han experimentado una mayor variación en la puntuación de EPSS, tanto porque se ha incrementado la probabilidad de que sean explotadas, como por el hecho de que dicha probabilidad haya descendido de forma notable.

Por otro lado, FIRST ha desarrollado una API que permite a los profesionales de ciberseguridad y a las compañías de todo el mundo consultar los datos de EPSS de forma sencilla para securizar a todos los activos IT desde el diseño y a lo largo de su ciclo de vida. Esta API, además, sirve para integrar los datos de EPSS en otras bases de datos, de cara a obtener una panorámica más amplia que permite optimizar la gestión de vulnerabilidades.

1.4. Escalar EPSS para predecir la amenaza global de una compañía y analizar su evolución

Así como los responsables de ciberseguridad y las compañías no pueden obtener autónomamente las puntuaciones del indicador EPSS, este sí facilita su escalabilidad. ¿Qué queremos decir con esto?

El indicador EPSS ofrece una puntuación que cuantifica la probabilidad de que una vulnerabilidad en concreto sea explotada. Pero, además, es posible realizar una predicción de actividad de explotación para una red, un sistema o una compañía en concreto. ¿Cómo? Contemplando todas las vulnerabilidades presentes en los activos IT de una empresa y la probabilidad de explotación de cada una de ellas.

FIRST ofrece en su guía de usuario una fórmula matemática para cuantificar, a partir de las puntuaciones individuales de cada CVE, la probabilidad de que al menos una de las vulnerabilidades de la compañía sea explotada en los próximos 30 días.

Este dato dibuja una panorámica sobre las amenazas a las que se enfrenta una organización en el corto plazo.

Pero, además, se puede convertir en una métrica más para evaluar las capas de seguridad defensiva de la organización a lo largo del tiempo. ¿Por qué? Al escalar EPSS se procede a obtener una probabilidad de explotación en un momento concreto. Si se repite la operación tres meses más tarde, se podrá saber si la amenaza global ha descendido o, en cambio, ha aumentado y tomar las medidas que resulten oportunidad para securizar los activos IT.

2. EPSS, un indicador al servicio de la gestión de vulnerabilidades

De la descripción que hemos realizado del indicador EPSS, podemos concluir que este sistema de puntuación no puede ser el único elemento que se tenga en cuenta a la hora de priorizar la remediación de las vulnerabilidades. ¿Por qué?

Solo se centra en el riesgo de explotación en el corto plazo, pero no tiene en cuenta aspectos cruciales en la gestión de vulnerabilidades como la relevancia empresarial y de negocio de los activos que presentan vulnerabilidades. Así como el impacto que podría tener en la organización y la continuidad de negocio la explotación exitosa de una vulnerabilidad.

Dicho de una forma más prosaica, una vulnerabilidad que presenta altas probabilidades de ser explotada en los próximos 30 días, pero que afecta a un activo de poco valor o cuyo impacto en la actividad de la compañía se prevé muy limitado, puede resultar menos preocupante para la gestión de riesgos que otra vulnerabilidad cuya probabilidad de explotación sea más baja.

La gestión de vulnerabilidades es un área de la ciberseguridad extraordinariamente compleja en la que entran en juego muchos factores. EPSS no busca ser la única herramienta que se empleé para tomar decisiones y priorizar las medidas de subsanación de debilidades.

De hecho, desde el propio FIRST se avisa de que EPSS solo se centra en el primero de los elementos de la fórmula clásica para medir el riesgo: Amenaza x Vulnerabilidad x Impacto.

Por eso, los profesionales que prestan servicios de ciberseguridad y las compañías no pueden sustentar la gestión de vulnerabilidades sobre este indicador, sino que han de usarlo en conjunción con otras herramientas y actuaciones, como CVSS.

3. EPSS y CVSS: Radiografiar las vulnerabilidades

Cuando se lanzó EPSS en el año 2019, se generó cierto debate en torno a si este indicador venía a sustituir a CVSS, un sistema de puntuación de vulnerabilidades empleado en todo el planeta para evaluar las CVEs. Sin embargo, no existe una dicotomía real entre EPSS y CVSS. Al contrario, ambos indicadores son complementarios. ¿Por qué?

El indicador EPSS mide, como hemos señalado a lo largo de este artículo, la probabilidad de que una vulnerabilidad sea explotada. Mientras que CVSS cuantifica (del 0 al 10) el impacto de la explotación de una vulnerabilidad en una determinada organización.

Así, si una CVE tiene una nota de 0,8 en el indicador EPSS significa que existe un 80% de probabilidades de que sea explotada en los próximos 30 días. En cambio, si la misma CVE obtiene una puntuación de 8, podemos considerar que su nivel de gravedad es alto. Es decir, cada indicador ofrece una información diferente sobre la vulnerabilidad y ambos resultan útiles para radiografiarla y tomar decisiones para optimizar la gestión de vulnerabilidades.

3.1. Cruzar los indicadores para priorizar las vulnerabilidades

Tal es así que se puede proceder a cruzar ambos indicadores para analizar las vulnerabilidades de una compañía y priorizar su remediación. Lo que nos puede arrojar cuatro grandes escenarios:

• Vulnerabilidades que presentan una probabilidad de explotación baja en el corto plazo (por ejemplo, un 0,1) y que, además, de ser explotadas, tendrían un impacto bajo en la infraestructura IT de la compañía (por ejemplo, un 1.6). Estas vulnerabilidades no serían prioritarias y, por lo tanto, deberían priorizarse otras debilidades.
• Vulnerabilidades que presentan altas probabilidades de ser explotadas en los próximos días (0,9 en EPSS), pero cuyo impacto sería limitado (por ejemplo, un 2 en CVSS). Estas vulnerabilidades deben ser analizadas, puesto que, en el caso de que se exploten más de una de ellas para poner en marcha un ataque más sofisticado, el nivel de criticidad podría ser muy superior.
• Vulnerabilidades que pueden resultar extremadamente críticas para la organización si son explotadas, pero que presentan bajas probabilidades de serlo en el corto plazo. Estas vulnerabilidades exigen un control exhaustivo para detectar cualquier cambio en el panorama de amenazas que pueda suponer un incremento significativo de las probabilidades de explotación.
• Vulnerabilidades críticas altamente explotables en el corto plazo. Como resulta evidente, estas son las vulnerabilidades que han de parchearse en primer lugar, puesto que es altamente plausible que sean explotadas en los próximos días y los efectos de esta actividad maliciosa pueden ser devastadores.

 

4. Estrategias para priorizar la remediación de vulnerabilidades

Hasta ahora hemos sostenido que el indicador EPSS puede ser una herramienta útil para anticiparse a las amenazas y priorizar la remediación de vulnerabilidades, pero, ¿cómo se sustancia esta idea en el terreno práctico? Diseñando estrategias de remediación. Es decir, poniendo en marcha planes para remediar determinadas vulnerabilidades. Por ejemplo, una compañía puede decidir subsanar aquellas que superen una puntuación de 0,2 en el indicador EPSS. O establecer un determinado porcentaje de esfuerzo (es decir, el número de vulnerabilidades que se deben subsanar).

Para diseñar estas estrategias de remediación empleando EPSS es importante tener en cuenta no solo el umbral de puntuación de las vulnerabilidades y el esfuerzo que debe de hacer la organización, sino también la eficiencia en el uso de recursos y la cobertura.

 4.1. Eficiencia en la gestión de los recursos

Los recursos de las compañías son limitados. Y las estrategias de ciberseguridad deben diseñarse e implementarse en función no solo de los objetivos de seguridad que se persiguen, sino también de los recursos disponibles para lograrlos.

De ahí que priorizar la remediación de vulnerabilidades sea una actividad central dentro de la gestión de vulnerabilidades de una organización. En este sentido, el indicador EPSS permite analizar la métrica de eficiencia en el empleo de los recursos. ¿Cómo? Midiendo el porcentaje de vulnerabilidades priorizadas por la compañía que fueron finalmente explotadas por los actores maliciosos.

Esta métrica se obtiene a través de una sencilla fórmula: Número de vulnerabilidades explotadas priorizadas por la compañía ÷ Número total de vulnerabilidades priorizadas.

De tal forma que, si el resultado de la división es alto, se habrá sido eficiente a la hora de priorizar la remediación de vulnerabilidades. Mientras que, si la división arroja un resultado bajo, significa que la organización ha priorizado muchas vulnerabilidades que, finalmente, no fueron explotadas.

4.2. Cobertura de las actividades de remediación

Otra métrica derivada del indicador EPSS es la cobertura. Es decir, el porcentaje de vulnerabilidades explotadas que la compañía procedió a remediar previamente. La fórmula de este dato es: Número de vulnerabilidades explotadas priorizadas por la compañía ÷ Número total de vulnerabilidades explotadas.

En este caso, si el índice de cobertura es bajo, la compañía no habrá sido capaz de dar respuesta a vulnerabilidades que fueron explotadas por los actores maliciosos. Y, en cambio, si es alto, la cobertura habrá sido óptima y la estrategia de remediación eficaz.

Habida cuenta de lo que venimos de exponer, ¿qué deben priorizar las compañías? ¿La eficiencia o la cobertura?

La respuesta a estas cuestiones dependerá de las características, recursos y objetivos de cada organización. Las empresas de menor dimensión y, por lo tanto, con menos recursos disponibles para la securización de su infraestructura IT, seguramente prefieran poner en marcha estrategias focalizadas en la eficiencia en la gestión de los recursos.

En cambio, las compañías de mayor tamaño, con un nivel de ciberexposición superior y con requerimientos de seguridad más elevados, probablemente decidirán construir sus estrategias de remediación apostando por una cobertura amplia, para reducir al máximo las posibilidades de sufrir un ataque exitoso.

4.3. EPSS v3, un indicador que optimiza las estrategias de subsanación

En un estudio publicado en febrero de 2023, en el que se analiza el funcionamiento de EPSS v3, se simulan diferentes estrategias de decisión empleando las tres versiones de EPSS, así como CVSS v3.x. El objetivo de los investigadores era comprobar tanto la eficacia en la gestión de los recursos de las compañías, como el nivel de cobertura de las actividades de remediación.

Para ello, los investigadores realizaron dos comparativas. En la primera de ellas, diseñaron estrategias de remediación con un porcentaje de esfuerzo similar. Mientras que en la segunda, establecieron una cobertura prácticamente idéntica para cada estrategia simulada empleando los cuatro indicadores a comparar.

En ambos casos, llegaron a la conclusión de que el indicador EPSS v3 ofrece mejores índices de cobertura y eficiencia que sus antecesores y la última versión de CVSS.

¿Implica esto que los profesionales a cargo de la gestión de vulnerabilidades de una compañía pueden diseñar las estrategias de remediación basándose solo en EPSS? Como ya hemos señalado, no. Puesto que EPSS se limita a cuantificar la probabilidad de que una vulnerabilidad sea explotada, sin tener en cuenta el entorno de cada organización o el impacto de la vulnerabilidad.

5. Gestión de vulnerabilidades, un servicio clave para la seguridad defensiva de las compañías

A lo largo del artículo hemos hecho hincapié en la idea de que el indicador EPSS es una herramienta útil a la hora de llevar a cabo la gestión de vulnerabilidades de la infraestructura IT de una compañía. Pero, ¿en qué consiste?

El servicio de gestión de vulnerabilidades que ofrece Tarlogic Security tiene como misión minimizar los riesgos en la infraestructura IT de una compañía. Para ello, se lleva a cabo una gestión integral de todo el ciclo de vida de las vulnerabilidades:

• Descubrimiento
• Análisis
• Reporting
• Remediación
• Verificación

De esta forma, la gestión de vulnerabilidades se convierte en una actividad esencial de la estrategia de seguridad defensiva de una empresa, que sirve para evaluar el estado global de seguridad a partir de las siguientes actividades:

• Gestión de los riesgos de seguridad
• Monitoreo permanente de la infraestructura IT
• Elaboración de un plan de detección y remediación de vulnerabilidades
• Optimizar la capacidad de detección de nuevas vulnerabilidades
• Diseño de estrategias de mitigación de debilidades
• Supervisión de la subsanación de vulnerabilidades
• Cumplimiento de los requerimientos normativos en vigor

En definitiva, el indicador EPSS puede ser una herramienta de gran valor añadido a la hora de llevar a cabo la gestión de vulnerabilidades IT. Puesto que sirve para priorizar las vulnerabilidades detectadas, teniendo en cuenta la probabilidad de que sean explotadas en el corto plazo.

De tal forma que las puntuaciones de EPSS se pueden tener en cuenta para diseñar estrategias de mitigación eficientes para sacarle partido a los recursos de la organización y proteger de manera eficaz a los activos de la compañía frente a las vulnerabilidades conocidas.