EPSS dobija na značaju dok AI ubrzava otkrivanje ranjivosti
CSO Online u analizi piše da Anthropicov Mythos pojačava već postojeći problem u upravljanju ranjivostima: previše prijavljenih propusta, a premalo jasnoće oko toga šta zaista traži hitnu reakciju. Anthropic zato preporučuje pristup u kome se prvo zakrpe stavke iz CISA KEV kataloga, a zatim ranjivosti iznad odabranog EPSS praga, kako bi se ogroman broj otvorenih CVE stavki sveo na upotrebljiv red čekanja. Tekst pritom prenosi i širu raspravu: deo stručnjaka vidi EPSS kao praktičan način za prioritetizaciju, dok drugi upozoravaju da modeli zasnovani na istorijskim podacima mogu kasniti u svetu u kome se vreme do eksploatacije meri satima ili minutima.
Za bezbednosne timove ovde nije najvažniji sam naziv modela, već činjenica da klasično krpljenje svega po redu više ne prati tempo otkrivanja i zloupotrebe propusta. Kako AI bude ubrzavao i nalaze i napade, firme će morati da uvedu jasniji način za razdvajanje onoga što može da čeka od onoga što već danas otvara realan put do upada.
- Dati prioritet ranjivostima koje su već u CISA KEV katalogu
- Uvesti EPSS kao dodatni sloj za određivanje prioriteta, a ne kao jedini kriterijum
- Upariti prioritizaciju sa stvarnom izloženošću sistema, poslovnim značajem i prisustvom kompenzacionih kontrola
- Pripremiti proces za mnogo veći broj nalaza koji neće svi imati isti operativni značaj
- Redovno proveravati da li postojeći model zakrpljivanja i dalje prati brzinu kojom se pretnje menjaju