epss

EPSS (Exploit Prediction Scoring System) 徹底解説 ~相互運用からデータソース、機械学習モデルまで~

EPSS (Exploit Prediction Scoring System) 徹底解説 ~相互運用からデータソース、機械学習モデルまで~

脆弱性管理において「本当に攻撃されるリスクを可視化したい」——そんなニーズから生まれたのがEPSS (Exploit Prediction Scoring System) です。「CVSS のスコアは高いけれど、実際にどのくらい攻撃されやすいのか分からない」「優先度を付けたいけれど修正すべき脆弱性が多すぎる」——企業のセキュリティ担当者が日々抱えるこうした課題を解決する鍵として、近年注目を集めています。本記事では、EPSS の基本的な概要から、従来の CVSS との違い、データパートナーの役割、機械学習モデルの仕組み、さらに具体的な導入上の注意点まで、これまでにないほど詳しく解説します。攻撃の「深刻度」だけでなく「実際に攻撃される確率」を加味することで、限られたセキュリティリソースを最大限に活かす新しい脆弱性管理のアプローチを一緒に見ていきましょう。
OSS脆弱性管理の課題と解決策|スライド・全文ログ付き解説 | SSVC,KEV,EPSS,VEXを用いた最新のリスク評価法(CSS2024招待講演)

OSS脆弱性管理の課題と解決策|スライド・全文ログ付き解説 | SSVC,KEV,EPSS,VEXを用いた最新のリスク評価法(CSS2024招待講演)

CSS2024(コンピュータセキュリティシンポジウム2024)にてFutureVulsが招待講演を行いました。本セッションでは、OSS脆弱性スキャナVulsを通じて見えてきた脆弱性管理の課題と解決策、VEXやReachabilityを用いたノイズ削除手法、SSVCやKEV,EPSSなどを活用した最新のリスク評価手法について解説しました。スライドと全文ログも公開していますので、ぜひご覧ください。
CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC

CVE_PrioritizerとSploitScanで考える、KEV Catalog/EPSS/CVSS/SSVC

KEV CatalogやEPSSはどう活用するのが良いかという点で、うまく活用しているプロジェクトがあったのでご紹介します。SSVCとの違いも考察します。
EPSS入門:脆弱性管理を変革する新指標の理解と活用方法

EPSS入門:脆弱性管理を変革する新指標の理解と活用方法

EPSSとは、機械学習によるデータ駆動型のアプローチによる脆弱性の危険度を示す指標です。本記事では近年注目を集めているEPSSについて、その特長について解説します。
脆弱性対応の戦略とフレームワーク(NCA Annual Conference CFPの概要)

脆弱性対応の戦略とフレームワーク(NCA Annual Conference CFPの概要)

先日開催されたNCA Annual Conference 2023で「サイバーセキュリティの新たな世界」として発表したものについて、概説します。
Prev
1
Next

カテゴリー