应对CVE洪流：EPSS详解

每天早晨，全球安全人员都会面临同样的仪式：打开漏洞订阅源，发现大量夜间新增的CVE条目。过去十年间，这种洪流已成为现代防御性安全的标志性挑战。2023年发布的CVE超过29000个，2024年超过40000个，每日新增约110个，其中约5-7%已被野外利用。

这种爆发性增长的根源在于结构性问题：安全研究社区显著扩大，漏洞赏金项目普及，自动化扫描使漏洞发现工业化，软件供应链暴露的攻击面比传统单体架构高出数个数量级。此外，人工智能正被越来越多地用于发现漏洞。

每个CVE都会获得CVSS（通用漏洞评分系统）评分，该评分范围从0到10，试图表达漏洞的内在严重性。CVSS基于核心问题进行评估：利用后的严重程度如何？利用复杂度如何？需要什么权限？对机密性、完整性和可用性的影响是什么？CVSS是一个设计良好的标准，但进行初步分类仍具挑战性：哪些CVE值得优先调查？一个CVSS 9.8但存在于冷门软件中的漏洞，实际危险性可能低于CVSS 6.5但正被勒索软件活动积极利用的漏洞。

EPSS（漏洞利用预测评分系统）由FIRST（事件响应和安全团队论坛）开发，自2021年公开推出以来经历多次迭代，2023年3月发布的EPSS v3是当前生产版本。其设计理念与CVSS根本不同：EPSS不是评估理论影响，而是回答一个概率问题。EPSS = P（发布后30天内被利用 | CVE已发布），评分范围从0.00001到1.0，采用梯度提升机器学习模型（XGBoost），输入特征约1400个信号每日更新，数据来源包括漏洞数据库、暗网遥测、威胁情报、概念验证存储库和NVD元数据。

来源: SANS ISC