Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

EPSS: avanzando en la predicción y gestión de vulnerabilidades

Fecha de publicación 14/12/2023
Autor
INCIBE (INCIBE)
EPSS: avanzando en la predicción y gestión de vulnerabilidades

El ecosistema digital está experimentando un crecimiento exponencial en todos los frentes: desde la cantidad de dispositivos conectados, hasta la necesidad de interconexión entre ellos. Este crecimiento conlleva un aumento inevitable en el número de vulnerabilidades potenciales que pueden estar presentes en el software, por lo que la tarea de detectar y gestionar estas vulnerabilidades debe de convertirse en una de las piedras angulares de cualquier organización.

Una muestra de este crecimiento exponencial puede observarse al comparar las vulnerabilidades registradas anualmente. Por ejemplo, según el ‘Informe anual de amenazas de ENISA 2023’, en el periodo comprendido entre el 1 de julio de 2022 y el 30 de junio de 2023, se identificaron un total de 13.650 vulnerabilidades, de las cuales 19,57% fueron categorizadas como  críticas, frente a las 894 vulnerabilidades detectadas en todo el año 2019.

- La suma de vulnerabilidades altas y críticas supuso más de la mitad de las vulnerabilidades identificadas por los CNA en el periodo 2022-2023. Fuente. -

Además, cerca de 100 de estas vulnerabilidades fueron incluidas en la lista de Vulnerabilidades Explotadas Conocidas (KEV) de CISA, lo que indica que no solo son teóricamente problemáticas, sino que han sido explotadas de forma activa, dando lugar a incidentes de seguridad, pérdida de datos u otros daños a las organizaciones o individuos afectados.

El Common Vulnerability Scoring System (Sistema Común de Puntuación de Vulnerabilidades) o CVSS, ha sido el indicador adoptado por la comunidad para evaluar y comunicar la gravedad de las vulnerabilidades en sistemas informáticos desde su introducción en 2005, proporcionando una estructura y metodología estandarizada para ayudar a las organizaciones a comprender la naturaleza y el impacto potencial de una vulnerabilidad específica. Más recientemente, en 2019, se propuso un nuevo sistema complementario de puntuación, que pone más énfasis en la probabilidad de que una vulnerabilidad específica sea explotada en los próximos 30 días. Este sistema, conocido como Sistema de Puntuación de Predicción de Explotación (EPSS) aporta así, información valiosa para la toma de decisiones en la tarea de priorización, dentro de la gestión de vulnerabilidades.

EPSS: Funcionamiento y metodología

El sistema EPSS es una iniciativa liderada por el Forum of Incident Response and Security Teams (FIRST) y se plantea como un esfuerzo comunitario para modelar y gestionar el riesgo de vulnerabilidad desde una perspectiva probabilística. Mediante inteligencia artificial y aprendizaje automático, analiza los datos, detecta patrones y realiza predicciones de explotación asignando una probabilidad entre 0 y 1 de que una vulnerabilidad sea explotada en los próximos 30 días, donde 1 indica un 100% de probabilidad de explotación, de forma totalmente automatizada. 

El modelo actual de EPSS (EPSS v3) está entrenado con más de mil variables, la mayoría de las cuales son valores booleanos que representaban la presencia de un atributo específico, como el proveedor del software. Para entender las contribuciones de estas variables en el modelo, se utilizan los valores SHAP, una herramienta desarrollada para interpretar modelos de machine learning. Estos valores ayudan a comprender cómo ciertas características afectan la puntuación de probabilidad de explotación de una vulnerabilidad. Esta predicción se basa en una amplia gama de datos, incluyendo:

  • Descripciones de CVE y etiquetas textuales: utiliza las descripciones detalladas de las Vulnerabilidades Comunes Enumeradas (CVE) para comprender la naturaleza y el alcance de las vulnerabilidades. Las etiquetas textuales proporcionan información adicional sobre las características específicas de la vulnerabilidad, lo que puede influir en su probabilidad de explotación.
  • Duración desde la publicación del CVE: el tiempo transcurrido desde que una vulnerabilidad se hace pública, puede tener un impacto en su probabilidad de ser explotada, ya que los actores maliciosos a menudo se apresuran a explotarlas antes de que se distribuyan parches ampliamente.
  • Cantidad de referencias listadas en el CVE: una gran cantidad de referencias puede indicar un interés elevado en una vulnerabilidad particular, sugiriendo que es más probable que sea explotada.
  • Código de explotación público: la disponibilidad de código de explotación en repositorios populares como Metasploit, ExploitDB o GitHub, facilita la probabilidad de ser aprovechada.
  • Vectores CVSS: a su vez, EPSS se alimenta de CVSS, especialmente del grupo de métricas base, que ofrecen información detallada sobre cómo una vulnerabilidad puede ser explotada, cuál es su impacto y qué tipo de acceso se requiere.
  • Información del proveedor del CPE: el Entorno de Plataforma Común (CPE) se refiere a la combinación de hardware y software en un sistema informático. La información del proveedor del CPE puede ser esencial para determinar si ciertas vulnerabilidades son más propensas a ser explotadas, dependiendo de la popularidad y el alcance en el mercado del proveedor en cuestión.

Para valorar y comparar el impacto de las vulnerabilidades y su gestión, el marco EPSS introduce varios indicadores, diseñados para ofrecer una evaluación objetiva, basada en datos del desempeño de una estrategia de gestión de vulnerabilidades en comparación con otra:

  • Cobertura: es una medida del porcentaje de vulnerabilidades explotadas que un marco de análisis logra identificar y priorizar. Una cobertura alta indica que el sistema es capaz de detectar la mayoría de las vulnerabilidades que están siendo explotadas activamente. Por ejemplo, si hay 100 vulnerabilidades que están siendo activamente explotadas y se identifican 90 de ellas para solucionar, entonces la cobertura es del 90%. Una alta cobertura es crucial porque indica que estamos protegiendo nuestros sistemas contra la mayoría de las amenazas activas.
  • Eficiencia: se refiere a la precisión con la que se pueden priorizar vulnerabilidades que realmente serán explotadas. En otras palabras, mide cómo de acertadas son las predicciones del sistema en relación con el mundo real. En términos simples, si priorizamos 100 vulnerabilidades basándonos en una métrica (como CVSS o EPSS) y solo 10 de ellas resultan ser activamente explotadas, entonces nuestra eficiencia es del 10%. Cuanto más alta sea la eficiencia, menos recursos desperdiciamos en falsos positivos.

La última versión de EPSS proporciona una excelente cobertura y una buena eficiencia. Por un lado, a igual esfuerzo o cantidad de trabajo y recursos necesarios para remediar las vulnerabilidades identificadas por el sistema, la última versión de EPSS obtiene una mayor cobertura y eficiencia para gestionar las vulnerabilidades. Por otro lado, a igual cobertura, la última versión de EPSS se muestra mucho más eficiente.

Comparativa de indicadores entre CVSS y EPSS fijando la variable “esfuerzo” (cantidad de trabajo y recursos necesarios para remediar las vulnerabilidades identificadas por el sistema) con el mismo valor constante.

- Comparativa de indicadores entre CVSS y EPSS fijando la variable “esfuerzo” (cantidad de trabajo y recursos necesarios para remediar las vulnerabilidades identificadas por el sistema) con el mismo valor constante. Fuente. -

 

Comparativa de indicadores entre CVSS y EPSS fijando la variable “cobertura” con el mismo valor constante.

- Comparativa de indicadores entre CVSS y EPSS fijando la variable “cobertura” con el mismo valor constante. Fuente. -

Gran parte del éxito del modelo EPSS, independientemente de su versión, se debe a las observaciones diarias de actividad de explotación de vulnerabilidades que consigue a través de fuentes confiables. Esto le permite adaptarse rápidamente y proporcionar puntuaciones de probabilidad actualizadas y cada vez más afinadas basadas en la actividad de amenazas en tiempo real.

Beneficios e implementación 

La adopción del EPSS en las empresas ofrece una serie de ventajas tangibles y estratégicas en el ámbito de la ciberseguridad:

  • Priorización efectiva y optimización de recursos: ayuda a las organizaciones a decidir qué vulnerabilidades abordar primero, basándose en la probabilidad real de explotación. Esta priorización efectiva permite a las empresas minimizar el esfuerzo y los recursos gastados, optimizando así sus recursos. 
  • Toma de decisiones informada: se integra con diversas herramientas de seguridad y sistemas SIEM, proporcionando alertas y recomendaciones en tiempo real. Con métricas en tiempo real y datos actualizados, EPSS facilita decisiones más informadas, permitiendo a las empresas adaptarse rápidamente al cambiante paisaje de amenazas. Todo ello, facilita la evaluación del riesgo de los activos asociados.
  • Mejora de la postura de seguridad y cumplimiento: al identificar vulnerabilidades con alta probabilidad de ser explotables, las empresas pueden priorizar su parcheado, minimizando significativamente el riesgo de brechas de seguridad. Con ello, las empresas refuerzan su postura de seguridad y demuestran proactividad a partes interesadas y clientes. Esta adopción es esencial para el cumplimiento de regulaciones y normativas, destacando el compromiso de la empresa con la gestión adecuada de riesgos y vulnerabilidades.

EPSS dispone de una API que se puede consultar para ampliar los detalles de las vulnerabilidades detectadas dentro del contexto organizacional. Al integrarla con sistemas de notificación de amenazas, como los SIEM, las empresas pueden aprovechar sus predicciones para estructurar y priorizar sus acciones de parcheo. Este enfoque permite centrarse en las calificaciones que el sistema EPSS otorga, enriqueciendo así las vulnerabilidades identificadas con datos más precisos a través de un adaptador diseñado específicamente para esta tarea.

Captura de la configuración del adaptador de datos de Wazhu con el API de EPSS

- Captura de la configuración del adaptador de datos de Wazhu con el API de EPSS. Fuente. -

Conclusión

A diferencia del CVSS, que proporciona una evaluación estática, EPSS predice la probabilidad de que una vulnerabilidad sea explotada en un plazo de 30 días. Esta predicción es impulsada por una amplia variedad de datos, desde descripciones de CVE hasta información del proveedor del CPE.

Los indicadores introducidos por EPSS, como la cobertura y la eficiencia, ofrecen una evaluación más precisa del desempeño de una estrategia de gestión de vulnerabilidades, permitiendo una comparación objetiva entre diferentes métricas. La adaptabilidad y precisión del EPSS, respaldada por observaciones diarias de actividad de explotación, lo convierte en una herramienta de vanguardia para la ciberseguridad.

Sin embargo, EPSS no pretende ser el único instrumento utilizado para decidir y establecer prioridades en las acciones de corrección de vulnerabilidades, sino una herramienta complementaria, que en combinación con otras suponga de una gran ayuda para mejorar la visibilidad del ciberriesgo de la organización.