CVSS 20 лет был стандартом. Анализ 600 уязвимостей показал: одной метрики недостаточно

leer en español

CVSS EPSS SSVC Microsoft Patch Tuesday уязвимости оценка риска путаница
CVSS 20 лет был стандартом. Анализ 600 уязвимостей показал: одной метрики недостаточно
CVSS EPSS SSVC Microsoft Patch Tuesday уязвимости оценка риска путаница

Системы оценки уязвимостей создают больше хаоса, чем порядка.

image

На фоне стремительного роста числа уязвимостей, с которыми сталкиваются компании по всему миру, исследователи из Рочестерского технологического института, Университета Гавайев и компании Leidos провели крупнейшее на сегодня сравнительное исследование четырёх наиболее популярных публичных систем оценки уязвимостей — CVSS, EPSS, SSVC и Exploitability Index.

Авторы проанализировали 600 реальных уязвимостей из публикаций Microsoft Patch Tuesday , чтобы выяснить, насколько согласованы между собой эти системы, как они справляются с задачами приоритизации и насколько точно предсказывают риск эксплуатации.

Результаты оказались тревожными: все четыре системы демонстрируют резкие расхождения в оценках одних и тех же CVE. Выявлена крайне низкая корреляция между ними — в ряде случаев восприятие серьёзности угрозы кардинально зависит от того, какой именно подход используется. Это приводит к парадоксальной ситуации: одна и та же уязвимость может попасть в список приоритетных по одной системе и быть проигнорированной по другой.

Авторы подчёркивают, что на практике это приводит к хаосу в процессе принятия решений. Системы часто группируют сотни CVE в одни и те же «верхние» корзины, не предоставляя реальной градации. Так, по CVSS и Exploitability Index более половины уязвимостей попадают в высшие приоритетные уровни, тогда как EPSS отбирает лишь четыре CVE, создавая противоположную проблему — излишнюю избирательность и риск пропуска опасных случаев.

Особое внимание в работе уделено эффективности EPSS как инструмента предсказания будущих атак. Несмотря на заявленную цель прогнозировать вероятность эксплуатации в течение 30 дней, менее 20% известных эксплуатируемых CVE имели высокие оценки EPSS до того, как были добавлены в каталог KEV . Более того, 22% уязвимостей вообще не имели никакой оценки в системе до момента подтверждения атак. Это серьёзно подрывает её надёжность в качестве превентивного инструмента.

SSVC, в свою очередь, предлагает качественную категоризацию действий (например, «следить», «действовать»), но и здесь обнаружены сложности: решение зависит от плохо сопоставимого параметра «влияние на миссию и благополучие», что затрудняет сопоставление между организациями.

Также было проверено, влияют ли типы уязвимостей (по CWE) на расхождения между оценками. Оказалось, что систематической связи не существует: даже в пределах одного CWE наблюдаются сильные расхождения, что говорит об автономности логики работы каждой системы и отсутствии универсального подхода.

Исследование показывает: использование любых этих систем без контекстуального уточнения и адаптации к нуждам конкретной организации может привести к ложным приоритетам. Авторы рекомендуют не полагаться на одну систему как на универсальный источник истины, а использовать комбинацию показателей, дополняя их внутренними данными и политиками. Особенно важно отличать понятия серьёзности и вероятности эксплуатации — это разные оси, требующие разных инструментов оценки.

Работа подчёркивает необходимость переосмысления всей системы оценки уязвимостей. Современным организациям требуется не просто один числовой показатель, а прозрачные, интерпретируемые, контекстуально адаптируемые инструменты, учитывающие реальные условия эксплуатации, критичность ресурсов и бизнес-логику. Только так можно построить эффективный и надёжный процесс управления уязвимостями.