Cyentia 및 FIRST의 연구에 의하면 EPSS는 익스플로잇 예측에서 강력한 성과를 증명

Tenable에서 후원한 Cyentia 및 FIRST의 리서치에서는 취약성 악용이 매우 변동적이지만 EPSS가 익스플로잇 예측 능력이 더 강화되고 있음을 보여줍니다.

매년 게시되는 CVE의 수는 계속 증가하고 있어서 어떤 CVE가 취약성 관리 팀의 집중이 필요한지 예측하는 것이 더욱 중요하다는 것을 의미합니다. Cyentia Institute 및 FIRST(Forum of Incident Response and Security Teams)의 새 리서치에서는 EPSS(익스플로잇 예측 점수 시스템) 점수 시스템이 취약성 우선 순위에 관한 더 합리적 결정을 내리는 데 도움이 되는 유용한 도구라는 것을 발견했습니다.

익스플로잇 활동의 시점, 우세성 및 활동량을 탐색하고 EPSS의 성과에 대한 피드백을 수집 및 분석하기 위한 폭넓은 리서치를 수행했습니다. 이런 노력의 결과는 최초 발간 보고서 "A Visual Exploration of Exploitation in the Wild"입니다. 이 보고서는 EPSS를 활용하는 규모가 크고 성장하고 있는 엔터프라이즈 사용자의 커뮤니티와 보안 제품에 도움이 되는 데이터 포인트 및 분석을 제공합니다. 이 2개 파트로 구성된 블로그 시리즈에서는 이 리서치의 일부 주요 발견 사항 및 통찰을 알아볼 것입니다. 첫 번째 파트에서는 다음 질문에 답변합니다.

• 어떤 비율의 취약성이 악용되었습니까?
• 익스플로잇 활동의 일반적 패턴은 무엇입니까?
• 여러 조직 중에 익스플로잇이 얼마나 퍼져있습니까?
• 어떻게 EPSS는 익스플로잇을 예측하는 기능을 수행합니까?

어떤 비율의 취약성이 악용되었습니까?

믿기 힘드시겠지만 게시된 CVE의 수가 25만에 가까워지고 있습니다. 또한 이 숫자는 지난 7년 동안 16%의 비율로 증가했습니다. 어떤 조직도 이 모든 취약성을 처리할 시간 또는 리소스가 없으며 이것이 가장 관련된 취약성을 식별하고 우선 순위를 지정하는 것이 매우 중요한 이유입니다. 우선 순위 지정 노력의 한 중요한 단계는 얼마나 많은 취약성이 악용되고 있는지 추적하고 예측하는 것입니다. 

그림 1에 왼쪽 플롯에서는 시간에 따른 13,807개 CVE와 익스플로잇 활동을 확인할 수 있으며 악용되는 것으로 알려진 취약성의 수는 점진적으로 15,000개에 접근하고 있다는 것을 보여줍니다. 오른쪽 플롯에서는 시간이 지나면서 게시된 CVE의 비율로 수를 확인할 수 있으며 모든 게시된 CVE의 약 6%가 악용되었으며 그 비율이 안정적인 것을 보여줍니다. 

그림 1: 취약성과 익스플로잇 활동 

익스플로잇 활동의 일반적 패턴은 무엇입니까?

그럼 이제 익스플로잇 활동의 일반적 다양한 패턴을 확인해보겠습니다. 

그림 2는 2023년 동안 5개 다른 CVE의 익스플로잇 활동을 보여줍니다. 각각의 CVE에는 고유한 익스플로잇 활동이 있습니다.

• 첫 번째 CVE는 단기간 지속되었으며 매우 희박한 익스플로잇을 겪었습니다
• 두 번째 CVE는 상당히 일정한 주간 활동을 겪었습니다 
• 세 번째 CVE는 매일 또는 주간 익스플로잇 시도를 겪었으며 12월 중간에 급상승했습니다 
• 4번째 CVE는 지속된 매일 익스플로잇을 보여줬으며 1분기~2분기에 특히 높았습니다 
• 마지막 CVE는 매우 높으며 일관적인 익스플로잇 활동 비율을 겪었습니다 

이 모든 것이 무엇을 의미할까요? 익스플로잇은 다양한 수준의 강도 및 기간으로 발생합니다. 우선 순위 지정 노력을 위해서는 "악용된다"는 것을 이진수 변수처럼 생각하는 것보다는 강도 및 기간과 같은 추가적 변수를 자세히 확인하는 것이 좋습니다.

그림 2: 관찰한 익스플로잇 활동에 차이점 

여러 조직 중에 익스플로잇이 얼마나 퍼져있습니까?

"악용된다"라는 것을 이진수 변수로 취급해서는 안 된다고 측면에서 전 세계에 퍼져있는 100,000개 이상의 조직에 많은 인원에 관찰한 우세한 익스플로잇에 대해 살펴보겠습니다. 놀라운 사실은 많은 조직에서 특정 취약성을 목표로 하는 악용 시도를 확인할 수 없다는 것입니다. 10개 중 1개 조직에만 영향을 주는 익스플로잇은 드뭅니다(5% 미만!). 취약성이 널리 악용되고 있다고 보고되면 일반적으로 모든 곳에서 악용되는 것으로 간주됩니다. 그렇지만 이것은 그런 경우가 아니며 모든 익스플로잇 보고를 동일하게 간주해서는 안된다는 것을 보여줍니다.

그림 3: 우세한 익스플로잇 활동 

어떻게 EPSS는 익스플로잇을 예측하는 기능을 수행합니까?

FIRST에 따르면 EPSS는 “소프트웨어 취약성이 널리 악용될 가능성(확률)을 추정하는 데이터 기반 노력입니다.” EPSS는 모든 알려진 CVE의 다음 30일 동안 매일 추정치를 사용하여 악용의 가능성을 나타내는 0에서 1까지(또는 0%에서 100%까지) 확률 점수를 제공합니다. 

그림 4에서 확인할 수 있는 것처럼 EPSS의 각 버전은 익스플로잇을 예측하는 기능에서 높은 성과를 보여줬습니다. 3개 메트릭 측정 성과는 다음과 같습니다. 

1. 범위: 익스플로잇 활동의 우선 순위 지정 완전성을 측정(정확하게 우선 순위가 지정된 모든 악용되는 취약성의 비율) 
2. 효율: 우선 순위의 정확성을 측정(수정하도록 우선 순위가 지정되었으며 실제 악용된 취약성의 비율) 
3. 노력: 우선 순위 전략으로 만든 전반적 워크로드를 측정(모든 취약성 중 우선 순위가 지정된 취약성의 비율) 

그림 4에 의하면 EPSS 점수가 0.6 이상인 취약성을 수정하면 약 60%의 보안 범위와 80%의 효율성을 달성하며 EPSS 점수 0.1 이상의 취약성을 수정하면 80%의 보안 범위 및 50%의 효율성을 달성합니다. 각 조직은 위험 허용 범위가 다르며 우선 순위 지정 전략에 영향을 줍니다. 범위, 효율성 및 노력 메트릭을 이해하면 조직은 취약성 관리 프로그램에 사용하는 특정 전략에 더 합리적 결정을 내릴 수 있습니다. 

그림 4: EPSS(익스플로잇 예측 점수 시스템)의 성과

이 리서처는 대단합니다. 그럼 이제 무엇을 합니까?

더 자세한 통찰은 전체 보고서를 다운로드하십시오. 무료 평가판으로 또는 라이선스를 구입하여 Nessus 10.8.0에서 EPSS 지원을 활용하십시오. 이 블로그 시리즈의 2번째 파트를 기다려주십시오!