权威说法:
漏洞利用预测评分系统 (EPSS) 是一项数据驱动的工作,用于估计软件漏洞在野外被利用的可能性(概率)
https://www.first.org/epss/
GitHub - TURROKS/CVE_Prioritizer: Streamline vulnerability patching with CVSS, EPSS, and CISA's Known Exploited Vulnerabilities. Prioritize actions based on real-time threat information, gain a competitive advantage, and stay informed about the latest trends.
https://github.com/TURROKS/CVE_Prioritizer?tab=readme-ov-fileCVE优先级排序工具
CVE_Prioritizer是一个功能强大的工具,通过结合CVSS、EPSS和CISA的已知被利用漏洞,可以帮助您优先处理漏洞修补。它为利用漏洞的可能性以及漏洞对您的信息系统的潜在影响提供了宝贵的见解。
为什么要结合 CVSS、EPSS 和 CISA 的 KEV?
CVE_Prioritizer利用 CVSS 和 EPSS 分数之间的相关性来增强漏洞修复工作。 CVSS 捕获漏洞的基本属性,而 EPSS 提供数据驱动的威胁信息, 使您能够更好地确定修补的优先级。
我们根据FIRST的建议和我们自己的经验完善了优先级阈值。概述如下:
- 我们包括 CISA 的已知利用漏洞,优先考虑在 KEV 中发现的 CVE。
- CVSS 阈值设置为 6.0,表示 CVE 详细信息中的加权平均 CVSS 分数。
- EPSS 阈值设置为 0.2,重点关注高于此阈值的相关性更高的漏洞。
此方法将漏洞分为五个优先级,使您能够更有效地分配资源。
| 优先权 | 描述 |
|---|---|
| 优先级 1+ | 在 CISA 的 KEV 中发现的 CVE |
| 优先级 1 | 右上象限的 CVE |
| 优先级 2 | 右下象限的 CVE |
| 优先级 3 | 左上象限的 CVE |
| 优先级 4 | 左下象限的 CVE |
以下是FIRST在应用我们自己的方法后建议的修改版本。
EPSS 解读:与 CVSS 相比,孰美?
EPSS 解读:与 CVSS 相比,孰美? - 知乎 (zhihu.com)
利用EPSS对漏洞补救行动进行大规模优先排序
利用EPSS对漏洞补救行动进行大规模优先排序 - 知乎 (zhihu.com)
进一步深入研究如何判定漏洞修复的优先级,这个是非常关键的。
