O EPSS, sistema que indica a probabilidade de exploração de uma vulnerabilidade, possibilita uma análise mais completa sobre a situação da segurança cibernética da sua empresa. Neste artigo entrevistamos um dos nossos especialistas para que você entenda as principais vantagens do EPSS para a segurança do seu negócio.

O Exploit Prediction Scoring System (EPSS), em tradução livre “Sistema de Pontuação de Previsão de Exploração de Vulnerabilidade”, é um sistema que indica a probabilidade de uma vulnerabilidade cibernética ser explorada com sucesso por cibercriminosos.

Em artigo recente, em que mencionamos que a Resh Cyber Defense é a primeira empresa brasileira a disponibilizar o EPSS em seus relatórios, trouxemos detalhes sobre o assunto e mostramos como o dado é essencial para otimizar as tomadas de decisão em relação à cibersegurança da sua empresa.

Palavra de especialista

Com esta novidade, a Resh traz mais inteligência para a gestão da segurança das empresas. Pois o EPSS permite que organizações tomem decisões mais embasadas, e assim corrijam primeiro as vulnerabilidades com maior probabilidade de serem exploradas com sucesso em um ataque.

Mas para entender um pouco mais sobre o EPSS e suas vantagens, entrevistamos Victor Fernandes – Engenheiro de Software e Especialista em Cibersegurança da Resh Cyber Defense. Vamos às perguntas e respostas.

1 – Segundo relatório da CheckPoint Research, o número de ciberataques no Brasil cresceu 46% no segundo trimestre de 2022. Dados como esse, apesar de assustadores, soam como um aviso e servem como parâmetro para que as empresas passem a se proteger mais. Como a Resh vem se preparando para passar mais segurança para seus clientes?

Resposta: Nos últimos anos a Resh tem realizado estudos de como auxiliar os clientes a corrigir as suas vulnerabilidades, o que culminou em grandes melhorias do seu relatório executivo. Nesse contexto, a nossa descoberta mais recente foi o EPSS, que é capaz de auxiliar o analista de segurança a definir qual vulnerabilidade é mais importante de ser corrigida imediatamente, uma vez que as organizações muitas vezes não conseguem e não necessariamente precisam corrigir todas as suas vulnerabilidades de imediato.

2 – A Resh é a primeira empresa do país a trazer o EPSS em seus relatórios de Pentest. O que a novidade significa para as empresas e clientes?

Resposta: Uma vez que o EPSS busca determinar a probabilidade de uma vulnerabilidade cibernética ser explorada com sucesso, temos que ele é capaz de auxiliar os clientes nas tomadas de decisão de quais vulnerabilidades devem corrigir com maior prioridade, além de auxiliar na interpretação do risco. Cabe destacar que o EPSS não deve ser considerado sozinho. As demais informações que a plataforma Argus continua disponibilizando, como o CVSS, detalhes da vulnerabilidade, provas de conceitos e comentários do analista, também devem ser levados em conta.

3 – Como o EPSS funciona na prática? Como ele surgiu e qual sua importância para os avanços da cibersegurança?

Resposta: De uma maneira simplificada, o EPSS estima a probabilidade de cada vulnerabilidade ser explorada, sendo 0% a mais improvável e 100% a mais provável. Importante notar que EPSS é um padrão emergente desenvolvido por um grupo voluntário internacional formado por pesquisadores, profissionais, acadêmicos e entidades de governos.

O seu desenvolvimento foi realizado a partir da constatação de que alguns sistemas de software possuem muitas vulnerabilidades que exigem atenção e correção imediata. Porém alguns estudos apontaram que as empresas são capazes de corrigir apenas algo entre 5% a 20% das vulnerabilidades conhecidas por mês. Adicionalmente, estudos também mostram  que apenas um pequeno subconjunto de 2% a 7% das vulnerabilidades encontradas é, de fato, explorado por atacantes.

Nesse cenário, o EPSS se configura como uma técnica de priorização de correção, auxiliando os analistas de segurança e desenvolvedores na correção das vulnerabilidades, para que aquelas com maior probabilidade de exploração possam ser priorizadas para a correção.

Uma vez que o EPSS se configura como uma variável dinâmica, que depende de diversos indicadores de ameaças cibernéticas, a Resh atualiza valores do EPSS todas as segundas, quartas e sextas-feiras. Os valores de EPSS são mantidos globalmente pelo FIRST, que é o Fórum Global de Equipes de Segurança e Resposta a Incidentes, entidade aberta e sem fins lucrativos.

4 – Com o EPSS, o que muda na tomada de decisão para a correção de uma vulnerabilidade? Quais os principais benefícios para as empresas?

Resposta: O EPSS se encaixa na etapa de análise das vulnerabilidades encontradas, pois juntamente com as demais informações que a Resh já oferecia no seu relatório executivo (como o score CVSS, criticidade, informações de como a vulnerabilidade funciona, quais riscos de sua existência para o sistema, quais dados estão em risco); o EPSS auxilia para que as vulnerabilidades com maior probabilidade de serem exploradas por ciberatacantes sejam corrigidas de imediato. O principal benefício dos nossos clientes está no fato de investir na correção de vulnerabilidades que, de fato, têm maior probabilidade de serem exploradas e que configuram maior risco no seu sistema. No final das contas, isso permite economizar dinheiro (já que as correções podem custar caro) ao mesmo tempo em que se acelera a redução do risco cibernético ao melhorar a capacidade de corrigir mais rápido o que representa maior risco.

5 – Você acredita que o EPSS pode contribuir para redução do número de ciberataques no Brasil?

Resposta: O número de ataques vai continuar aumentando, infelizmente. Mas, levando em conta que o EPSS ajuda os analistas de segurança e os desenvolvedores a corrigir mais rápido as vulnerabilidades com maior probabilidade de serem exploradas, o número de invasões pode diminuir.

E você, o que tem feito para proteger sua empresa?

A Resh Cyber Defense é a única a oferecer o serviço de Pentest com relatórios nacionalizados e com informações como as guias de correção, nível de criticidade das vulnerabilidades, classificação do EPSS e muito mais.

Geramos um documento 100% em português e em compliance com a LGPD, com todos os detalhes encontrados nos testes dos alvos, para que a sua equipe não encontre nenhuma dificuldade na hora de providenciar as correções das vulnerabilidades.

Fale agora com nossos especialistas e adquira a maneira mais simples e barata de identificar todas as vulnerabilidades em seus sistemas, redes e aplicações.