Comments 3
Включение дополнительного сигнала при принятии решений о приоритетах устранения уязвимостей - однозначно полезно. Другое дело, что EPSS по сути - чёрный ящик, и мы по большому счету не знаем, почему там появляется та или иная запись (и почему не появляется то, что вроде бы должно там быть), и почему у неё именно такой вес. Есть ещё свежий NIST LEV, который, в отличии от смотрящего на 30 дней вперёд EPSS, смотрит в зеркало заднего вида, учитывая в том числе CVE из перечня CISA KEV, которые реально эксплуатируются.
Но! Ни у одной из систем оценки нет информации о том, что входит именно в вашу CMDB, какие меры защиты у вас установлены и насколько тщательно они настроены, так что в любом случае решения о приоритетах приходится приземлять по месту.
К сожалению, не для всех уязвимостей определён рейтинг CVSS и даже CVE может быть не зарегистрирована. А учитывать надо по возможности все сигналы, которые вам доступны, включая CISA KEV, БДУ ФСТЭК и НКЦКИ, особенно для своей инфраструктуры.
PS: Ещё один проект по приоритетам устранения CVE в копилку.
Как я оптимизировал реагирование на уязвимости с помощью EPSS