EPSS 与 CVSS：有什么区别？

比较 cvss 与 epss 时，区别在于 每个分数告诉你什么:

• CVSS 专注于 潜在的严重性 漏洞有多严重？ 可以 是。

• 每股收益 预测 被利用的可能性 在现实世界中—— 将 成为目标。

虽然 CVSS 考虑了漏洞利用的复杂性、用户交互和影响，但它没有考虑攻击者是否正在积极利用漏洞。EPSS 通过考虑威胁遥测、漏洞利用代码可用性和攻击模式来填补这一空白。

根据 EPSS 研究，不到 2% 的已知漏洞具有较高的 EPSS 分数。相比之下，许多关键的 CVSS 问题仍未受到网络犯罪分子的关注。这凸显了 EPSS 评分漏洞 帮助过滤噪音，使团队能够专注于可信的、当前的威胁。

EPSS 和 CVSS 可以一起工作吗？

绝对是，而且他们应该这么做。

EPSS 和 CVSS 在平衡的漏洞管理策略中相互补充：

• 绝大部分储备使用 CVSS 评估 多么糟糕 可能存在漏洞。

• 绝大部分储备使用 每股收益 评估 有多大可能 它将被利用。

这种双层方法支持更智能的分类。例如：

• 存在漏洞 高 CVSS + 高 EPSS → 立即修复。

• 高 CVSS + 低 EPSS → 密切监控，但降低优先级。

• 低 CVSS + 高 EPSS → 调查；攻击者可能会将其与其他缺陷联系起来。

因此，对 epss 和 cvss 进行并排比较的团队可以更清楚地了解需要补救什么以及何时补救。

使用 EPSS 进行实际优先级排序

为了说明这一点，假设您的系统标记了两个 CVE：

• CVE-2024-99999
  CVSS：9.8（严重）
  EPSS：0.03（可利用性低）

• CVE-2024-12345
  CVSS：6.1（中等）
  EPSS：0.86（被利用的可能性很高）

您应该先修复哪个漏洞？许多传统工作流程会优先修复关键的 CVSS 漏洞。然而，EPSS 颠覆了这一思路——你根据实际被利用的情况采取行动，而不仅仅是什么 可以 危险。

这种转变允许团队 减少误报，节省时间，提高补救速度。

为什么 EPSS 评分漏洞管理会改变游戏规则

EPSS 提供的不仅仅是更智能的修补，它还能实现大规模安全性：

• 动态评分：EPSS 每天更新，反映最新的漏洞情报。

• 可扩展性：它可以解决数千个漏洞，帮助团队更快地进行分类。

• 客观性：EPSS 建立在公共数据和开放模型之上，具有可验证性和透明性。

• 政策影响: 正如 FIRST网站，EPSS 已经影响国家级补救政策（例如 DHS BOD 19-02）。

此外，EPSS 分数漏洞管理可帮助防御者将精力集中在最重要的地方——真正构成危险的威胁。