EPSS significa Exploit Prediction Scoring System, che si traduce in sistema di valutazione della previsione di exploit. Si tratta di un modello probabilistico che assegna a ogni vulnerabilità (generalmente identificata da un identificativo CVE) una probabilità di essere sfruttata entro 30 giorni dalla sua osservazione.
L'obiettivo dell'EPSS è quello di completare gli altri sistemi di valutazione (come il CVSS) aggiungendo un livello dinamico e contestuale basato su dati reali di exploit osservati in natura. Ciò consente alle organizzazioni di dare una priorità più efficace ai propri sforzi di correzione basandosi sul rischio di exploit reale.
No, l'EPSS non sostituisce il CVSS: i due sistemi sono complementari. Il CVSS fornisce una misura strutturale della gravità, utile per comprendere l'impatto potenziale di una vulnerabilità. L'EPSS, invece, fornisce una misura comportamentale e predittiva, incentrata sulla probabilità di sfruttamento reale.
Insieme, questi due punteggi consentono una valutazione più precisa del rischio, sia sul piano teorico che operativo. Molte aziende adottano un approccio ibrido, ad esempio trattando solo le vulnerabilità che hanno sia un CVSS ≥ 7 che un EPSS ≥ 0.5, oppure utilizzando matrici di rischio arricchite di questi due indicatori.