EPSS significa Exploit Prediction Scoring System, che si traduce in sistema di valutazione della previsione di exploit. Si tratta di un modello probabilistico che assegna a ogni vulnerabilità (generalmente identificata da un identificativo CVE) una probabilità di essere sfruttata entro 30 giorni dalla sua osservazione.
L'obiettivo dell'EPSS è quello di completare gli altri sistemi di valutazione (come il CVSS) aggiungendo un livello dinamico e contestuale basato su dati reali di exploit osservati in natura. Ciò consente alle organizzazioni di dare una priorità più efficace ai propri sforzi di correzione basandosi sul rischio di exploit reale.
Sì, sempre più organizzazioni utilizzano l'EPSS come criterio prioritario per decidere quali vulnerabilità correggere per prime, in particolare quando si trovano ad affrontare un grande volume di falle da gestire. Correggere tutte le CVE con un punteggio CVSS elevato può essere costoso e inefficiente, soprattutto se alcune non vengono mai sfruttate. L'EPSS permette quindi di focalizzare le risorse sulle falle realmente pericolose.
Alcune politiche di sicurezza integrano ormai delle soglie d'azione basate sull'EPSS, ad esempio: “correggere ogni vulnerabilità con un punteggio EPSS > 0.7 entro 48 ore”. Questo approccio pragmatico permette di accelerare la remediation laddove è più utile, limitando al contempo le interruzioni non giustificate.
No, l'EPSS non sostituisce il CVSS: i due sistemi sono complementari. Il CVSS fornisce una misura strutturale della gravità, utile per comprendere l'impatto potenziale di una vulnerabilità. L'EPSS, invece, fornisce una misura comportamentale e predittiva, incentrata sulla probabilità di sfruttamento reale.
Insieme, questi due punteggi consentono una valutazione più precisa del rischio, sia sul piano teorico che operativo. Molte aziende adottano un approccio ibrido, ad esempio trattando solo le vulnerabilità che hanno sia un CVSS ≥ 7 che un EPSS ≥ 0.5, oppure utilizzando matrici di rischio arricchite di questi due indicatori.