CVE Önceliklendirme: CVSS vs EPSS

Kısaca

• CVSS şiddeti tek başına yeterli değil; EPSS ile sömürü olasılığını ekleyin.
• Varlık kritiklikleri ve internet maruziyetiyle bağlam oluşturun.
• Kuralları otomatikleştirip SLA ve uyarı mekanizmalarıyla hız kazanın.

CVSS tek başına neden yetmez?

CVSS etkiyi ölçer; ancak sömürülebilirlik ve gerçek saldırı olasılığı konusunda sınırlıdır. EPSS, tehdit istihbaratı ve gözlemlenen istismar verileriyle bu boşluğu doldurur.

EPSS nedir ve nasıl kullanılır?

• Belirli bir CVE’nin yakın vadede istismar edilme olasılığını verir.
• CVSS 6.5 orta seviye bile EPSS %90 ise kritik gibi ele alınmalıdır.
• EPSS eşikleri kurallara dökülerek otomatik önceliklendirme sağlanır.

Kombine Puanlama (Örnek)

Risk = CVSS_Impact × EPSS_Factor × Varlık_Kritiklik × Maruziyet

• Varlık_Kritiklik: crown-jewel = 2, normal = 1
• Maruziyet: internet-facing = 1.5, dahili = 1
• EPSS_Factor: EPSS% / 50 (üst sınır 2 ile normalize)

Otomasyon ve Ürünle Birlikte

• EPSS ≥ %75 ve internet-facing varlıklar için anında uyarı.
• Risk ≥ eşik için otomatik ticket (Jira, ServiceNow) ve atama.
• Kapatma sonrası otomatik retest ve doğrulama raporu.

İzlenecek KPI’lar

• Kritik/EPSS yüksek açıklar için MTTR
• Exploit edilmiş açıkların oranı (zamanında müdahale)
• SLA uyum oranı ve retest başarısı

SSS

Kullanım Senaryoları

• Patch önceliklendirme: Haftalık yama penceresinde EPSS ve maruziyete göre sıralama.
• Zeroday yakın takip: Yüksek EPSS trendlere göre acil aksiyon listeleri.
• Varlık bazlı alarm: Crown-jewel varlıklarda risk eşiğini daha düşük tutma.

Sık Yapılan Hatalar

• Tek metrikle karar: Sadece CVSS veya sadece EPSS ile sıralama.
• Maruziyeti yok sayma: İnternet-facing olmayan sistemleri aynı öneme koyma.
• Statik eşikler: Tüm varlıklar için aynı kural setini uygulama.

Örnek Kural Setleri

• EPSS ≥ %75 VE internet-facing → kritik, 24 saat içinde aksiyon.
• CVSS ≥ 9 VE exploit mevcut → kritik, 72 saat içinde aksiyon.
• EPSS 40–75 VE crown-jewel → yüksek, 5 iş günü.