Согласно отчету
компании Rezilion, специализирующейся на обеспечении безопасности поставок ПО, многие организации неэффективно используют свои ограниченные ресурсы на устранение неактуальных уязвимостей. Выводы компании основаны на том, что организации сейчас способны устранить лишь 10% от общего числа уязвимостей, при этом эксплуатируются только 5% ошибок.
Rezilion акцентирует внимание на модели оценки вероятности эксплуатации уязвимости (Exploitability Probability Prediction Score, EPPS), которая помогает определить вероятность эксплуатации конкретной уязвимости и её уровень опасности.
Модель EPPS, созданная на основе инициативы сообщества специалистов, использует информацию о распространенных уязвимостях и эксплуатациях (Common Vulnerabilities and Exposures, CVE) в сочетании с фактами реальной эксплуатации для формирования рейтинга.
В ходе исследования компания Rezilion обнаружила более 30 активно эксплуатируемых уязвимостей с высоким рейтингом EPPS, которые не были включены в базу данных эксплуатируемых уязвимостей ( Known Exploited Vulnerabilities, KEV ) CISA.
Представитель Rezilion высказал свою озабоченность по поводу текущего подхода организаций, полагающихся на систему оценки общих уязвимостей (Common Vulnerability Scoring System,
Источник: SecurityLab