Nein, EPSS ersetzt CVSS nicht: Die beiden Systeme sind komplementär. CVSS bietet eine strukturelle Messung des Schweregrads, die nützlich ist, um die potenziellen Auswirkungen einer Schwachstelle zu verstehen. EPSS hingegen bietet eine Verhaltens- und Vorhersagemessung, die sich auf die Wahrscheinlichkeit einer tatsächlichen Ausnutzung konzentriert.
Zusammen ermöglichen diese beiden Scores eine genauere Risikobewertung, sowohl theoretisch als auch operativ. Viele Unternehmen verfolgen einen hybriden Ansatz, indem sie beispielsweise nur Schwachstellen mit einem CVSS ≥ 7 und einem EPSS ≥ 0,5 behandeln oder Risikomatrizen verwenden, die mit diesen beiden Indikatoren angereichert sind.
Ja, immer mehr Organisationen nutzen den EPSS als vorrangiges Kriterium, um zu entscheiden, welche Schwachstellen zuerst behoben werden sollen, insbesondere wenn sie mit einer großen Anzahl von zu behebenden Fehlern konfrontiert sind. Das Beheben aller CVEs mit einem hohen CVSS-Score kann kostspielig und ineffizient sein, insbesondere wenn einige nie ausgenutzt werden. Der EPSS ermöglicht es daher, die Ressourcen auf die wirklich gefährlichen Fehler zu konzentrieren.
Einige Sicherheitsrichtlinien beinhalten inzwischen Aktionsschwellenwerte, die auf dem EPSS basieren, z. B.: „Beheben Sie jede Schwachstelle mit einem EPSS-Score > 0,7 innerhalb von 48 Stunden“. Dieser pragmatische Ansatz ermöglicht es, die Behebung dort zu beschleunigen, wo sie am nützlichsten ist, und gleichzeitig ungerechtfertigte Unterbrechungen zu begrenzen.
EPSS steht für Exploit Prediction Scoring System, was übersetzt Exploit-Vorhersage-Bewertungssystem bedeutet. Es handelt sich um ein probabilistisches Modell, das jeder Schwachstelle (in der Regel durch eine CVE-ID identifiziert) eine Wahrscheinlichkeit zuweist, innerhalb von 30 Tagen nach ihrer Beobachtung ausgenutzt zu werden.
Das Ziel von EPSS ist es, andere Bewertungssysteme (wie CVSS) zu ergänzen, indem es eine dynamische und kontextbezogene Ebene hinzufügt, die auf realen Exploit-Daten basiert, die in freier Wildbahn beobachtet wurden. Dies ermöglicht es Unternehmen, ihre Korrekturmaßnahmen besser zu priorisieren, basierend auf dem tatsächlichen Exploit-Risiko.