Nein, EPSS ersetzt CVSS nicht: Die beiden Systeme sind komplementär. CVSS bietet eine strukturelle Messung des Schweregrads, die nützlich ist, um die potenziellen Auswirkungen einer Schwachstelle zu verstehen. EPSS hingegen bietet eine Verhaltens- und Vorhersagemessung, die sich auf die Wahrscheinlichkeit einer tatsächlichen Ausnutzung konzentriert.
Zusammen ermöglichen diese beiden Scores eine genauere Risikobewertung, sowohl theoretisch als auch operativ. Viele Unternehmen verfolgen einen hybriden Ansatz, indem sie beispielsweise nur Schwachstellen mit einem CVSS ≥ 7 und einem EPSS ≥ 0,5 behandeln oder Risikomatrizen verwenden, die mit diesen beiden Indikatoren angereichert sind.
EPSS steht für Exploit Prediction Scoring System, was übersetzt Exploit-Vorhersage-Bewertungssystem bedeutet. Es handelt sich um ein probabilistisches Modell, das jeder Schwachstelle (in der Regel durch eine CVE-ID identifiziert) eine Wahrscheinlichkeit zuweist, innerhalb von 30 Tagen nach ihrer Beobachtung ausgenutzt zu werden.
Das Ziel von EPSS ist es, andere Bewertungssysteme (wie CVSS) zu ergänzen, indem es eine dynamische und kontextbezogene Ebene hinzufügt, die auf realen Exploit-Daten basiert, die in freier Wildbahn beobachtet wurden. Dies ermöglicht es Unternehmen, ihre Korrekturmaßnahmen besser zu priorisieren, basierend auf dem tatsächlichen Exploit-Risiko.