CVE Prioritizer: Slimme Kwetsbaarheidsanalyse met EPSS en CVSS
In deze blog vertellen we graag meer over het EPSS scoringssystem en hoe dit kan helpen met het prioriteren van vulnerability meldingen. Uiteraard is er ook een prima tool beschikbaar om hierbij te ondersteunen!
Er worden dagelijks nieuwe kwetsbaarheden ontdekt. Organisaties vertrouwen vaak op het Common Vulnerability Scoring System (CVSS) om de ernst van een kwetsbaarheid te bepalen. Maar alleen weten hoe ernstig een kwetsbaarheid is, zegt weinig over hoe groot de kans is dat deze daadwerkelijk wordt misbruikt. Hier komt EPSS (Exploit Prediction Scoring System) om de hoek kijken: een dynamisch model dat voorspelt hoe waarschijnlijk het is dat een kwetsbaarheid wordt aangevallen.
Het combineren van deze twee systemen biedt een krachtig inzicht in welke kwetsbaarheden echt prioriteit moeten krijgen.
Wat is het Exploit Prediction Scoring System?
EPSS (Exploit Prediction Scoring System) is een systeem dat de kans voorspelt dat een kwetsbaarheid daadwerkelijk in de praktijk wordt geëxploiteerd. Het gebruikt historische gegevens en machine learning om de waarschijnlijkheid van exploitatie te berekenen, wat helpt bij het prioriteren van kwetsbaarheden.
Waarom geeft het combineren van een CVSS score met EPSS meer inzicht?
EPSS is nuttig omdat het een dynamische voorspelling biedt over de werkelijke exploitatiekans. Door dit te combineren met de CVSS-score, krijg je een krachtiger hulpmiddel om kwetsbaarheden niet alleen op ernst te beoordelen, maar ook op de kans dat ze echt misbruikt zullen worden, waardoor je effectiever kunt prioriteren.
Automatiseren?
We kunnen dit alles prima automatiseren. Een tool die hierbij helpt is CVE_Prioritizer (https://github.com/TURROKS/CVE_Prioritizer).
CVE_Prioritizer is een open-source tool die helpt bij het prioriteren van kwetsbaarheden (CVEs) door CVSS en EPSS scores te combineren. Deze tool automatiseert het proces van kwetsbaarheidsbeheer door te focussen op zowel de impact als de kans op exploitatie.
Het komt weleens voor dat een hoge (CVSS) kwetsbaarheid veel tijd kost om te patchen terwijl een lagere kwetsbaarheid eigenlijk veel dringender is. Bij het maken van deze afweging kan CVE_Prioritizer helpen door te laten zien welke kwetsbaarheden daadwerkelijk een direct risico vormen.
Hoe maakt de tool zijn afweging?
De tool combineert data van verschillende bronnen om een risicoscore te berekenen. Dit doet het als volgt:
- EPSS-score ophalen: De tool gebruikt de EPSS API om te kijken hoe groot de kans is dat een bepaalde CVE daadwerkelijk wordt aangevallen.
- CVSS-score ophalen: Vervolgens haalt de tool de CVSS-score op om de potentiële impact te bepalen.
Combineren en prioriteren: Door de EPSS- en CVSS-scores slim te wegen, bepaalt de tool welke kwetsbaarheden directe aandacht vereisen en welke minder urgent zijn.
Resultaten tonen: De tool presenteert een overzicht van de CVEs gesorteerd op risico, zodat beveiligingsteams op een slimme manier kunnen patchen.
Hoe werkt de CVE_Prioritizer?
De tool is eenvoudig in gebruik en vereist alleen Python en een internetverbinding. Je kunt per CVE een afwegingskader krijgen of je kunt een CSV met meerdere CVE nummers als batch laten analyseren. Al deze data kan ook weer geëxporteerd worden.
Een enkele CVE:
| .\cve_prioritizer.py -c CVE-2023-0001 |
Meerdere CVE's middels een CSV:
| .\cve_prioritizer.py -f cve_list.csv |
Met een export van de resultaten:
| .\cve_prioritizer.py -f cve_list.csv -o results.csv |
Wat is de meerwaarde van de CVE_Prioritizer?
De grootste kracht van deze tool is de slimme combinatie van CVSS en EPSS. Dit biedt een aantal belangrijke voordelen:
✅ Betere focus: Beveiligingsteams kunnen zich richten op kwetsbaarheden met een hoge kans op exploitatie in plaats van enkel op hoge CVSS-scores.
✅ Tijdswinst: Minder tijd verspillen aan niet-bedreigende kwetsbaarheden betekent meer tijd voor echte risico’s.
✅ Automatisering: Door de tool in een patch management proces te integreren, wordt kwetsbaarheidsbeheer veel efficiënter.
✅ Rapportage en inzicht: De tool helpt security teams data-gedreven beslissingen te nemen over welke kwetsbaarheden als eerste aangepakt moeten worden.
Conclusie
De CVE_Prioritizer tool is een waardevolle tool welke helpt met het maken van de juiste beslissingen. Door EPSS en CVSS met elkaar te combineren krijg je duidelijker beeld van de CVE dan door alleen de CVSS score te gebruiken. De tool is uiteraard niet fool-proof en kennis van je eigen omgeving is onmisbaar in het maken van de juiste beslissingen.
Hopelijk heb je iets aan deze kleine tip!