EPSS гэж юу вэ?

Exploit Prediction Scoring System (EPSS) буюу Урьдчилан таамаглах онооны систем нь кибер аюулгүй байдлын эмзэг байдлыг үнэлэхэд ашиглагддаг, ML дээр суурилсан загвар бөгөөд тухайн эмзэг байдал (CVE)-ыг ойрын 30 хоногт бодитоор ашиглагдах магадлалыг тооцдог. Энэ нь байгууллагуудад түрүүлж засах шаардлагатай эмзэг байдлыг тодорхойлоход тусалдаг ба товчхондоо “EPSS” бол “ямар сул тал түрүүлж халдлагад өртөх вэ?” гэдгийг урьдчилан хэлдэг онооны систем.

Мэдээллийн аюулгүй байдлын чиглэлийн сүүлийн үеийн судалгаа, хөгжүүлэлт, чиг хандлагын талаар жил бүр зохион байгуулагддаг “Black Hat” арга хэмжээ 2019 онд АНУ-д зохион байгуулагдсан бөгөөд уг арга хэмжээний үеэр Michael Roytman, Jay Jacobs, Sasha Romanosky нар EPSS-ийн анхны концепт, прототипийг танилцуулсан. Энэ нь CVE эмзэг байдлын халдлагад өртөх магадлалыг урьдчилан таамаглах санаа байсан.

Улмаар 2020 онд “First SIG” байгууллага олон улсын судлаач, инженерүүдийн хамтын ажиллагаагаар EPSS-ийн стандартыг боловсруулж, 2021 онд албан ёсны хувилбарыг гаргаж, магадлалын оноог нийтэлсэн. 2022 оноос алгоритмыг сайжруулж, эх сурвалжууд ашиглаж эхэлсэн бөгөөд 2023 оноос өргөтгөсөн шинж чанаруудыг нэвтрүүлж, 2025 оноос “Contextual threat intelligence feed”[1] нэмэгдэж, гүйцэтгэл сайжирсан.

EPSS нь олон төрлийн өгөгдөл (CVE-ийн шинж чанар, exploit ажиглалт, халдлагын telemetry, threat intelligence feed) дээр суурилж машин сургалтын загвараар ойрын 30 хоног бодитоор ашиглагдах магадлалыг 0-1 оноо (0% – 100%)-ны тусламжтайгаар тооцолдог. Өөрөөр хэлбэл инженер эсвэл байгууллага өөрөө оноо гаргахгүй, харин EPSS API эсвэл өгөгдлийн сангаас оноог татаж аваад CVSS (ноцтой байдлын оноо) + EPSS (ашиглагдах магадлал)-ыг хамтад нь харьцуулж, аль сул талыг түрүүлж засахаа тодорхойлно. EPSS оноог ашигласнаар хязгаарлагдмал нөөцтэй IT багууд аль сул талыг түрүүлж засахаа тодорхойлох бөгөөд банк, төрийн байгууллага, логистик системүүд exploit-д өртөх магадлал өндөртэй сул талыг түрүүлж хамгаалах боломж олгодог юм.

EPSS оноог ашиглан patch prioritization policy[2] гаргаж, patch хийх хугацаа хэрхэн богиносож байгааг хэмжих, Exploit-д өртсөн тохиолдлын тоо буурч байгаа эсэхийг хянаж, эрсдэлийн удирдлагын тайланд тусгах нь чухал юм.