Ocena ważności CRA: CVSS, EPSS i KEV

Unijny Cyber Resilience Act (rozporządzenie (UE) 2024/2847) zobowiązuje producentów do usuwania luk w zabezpieczeniach "bez zbędnej zwłoki" (Załącznik I Część II lit. 2) i do zgłaszania aktywnie wykorzystywanych luk w ciągu 24 godzin (art. 14 ust. 1), jednak nie wskazuje żadnego systemu oceny. CVSS, EPSS oraz katalog CISA KEV to narzędzia branżowe służące spełnieniu tych obowiązków. Niniejsza strona omawia, co każde z nich mierzy, jak łączyć je w możliwą do obrony priorytyzację oraz jak ocena łączy się ze zgłaszaniem na podstawie art. 14 i koordynowanym ujawnianiem podatności.

Podsumowanie

  • CRA nie nakłada obowiązku stosowania żadnego systemu oceny. Załącznik I Część II lit. 2 wymaga usuwania luk "bez zbędnej zwłoki", lecz pozostawia operacyjny pomiar po stronie producentów.
  • CVSS mierzy nieodłączną ważność w skali od 0 do 10: cechy podatności niezależne od tego, czy zaobserwowano jej wykorzystanie w praktyce.
  • EPSS mierzy prawdopodobieństwo wykorzystania w skali od 0 do 1: prawdopodobieństwo zaobserwowania wykorzystania w ciągu najbliższych 30 dni, obliczane przez FIRST EPSS Special Interest Group.
  • CISA KEV to dwustanowy sygnał "aktywnie wykorzystywana", który najbardziej bezpośrednio wpływa na decyzje o zgłoszeniu na podstawie art. 14 ust. 1, choć art. 14 ust. 1 jest szerszy niż samo figurowanie w KEV.
  • CVSS, EPSS i KEV łącznie tworzą możliwą do obrony macierz priorytyzacji; żaden pojedynczy sygnał nie jest wystarczający samodzielnie.
  • Wyzwalacze zgłoszeń z art. 14 są faktyczne, nie wynikają z wyników oceny. Aktywne wykorzystanie i poważny incydent są ustalane na podstawie definicji prawnych, a ocena służy jako dowód pomocniczy.
0-10
Zakres CVSS
nieodłączna ważność
0-1
Prawdopodobieństwo EPSS
prawdopodobieństwo wykorzystania w ciągu 30 dni
24h
Wczesne ostrzeżenie SRP z art. 14
aktywnie wykorzystywana
€15M / 2.5%
Kara z art. 64
w zależności od tego, która kwota jest wyższa

Cztery liczby wyznaczające ramy decyzji o ważności luk w ramach CRA: nieodłączna ważność, prawdopodobieństwo wykorzystania, zegar zgłaszania oraz pułap kary.

Co CRA mówi na temat oceny ważności

Analizując rozporządzenie bezpośrednio, nie znajdziemy żadnej wzmianki o CVSS, EPSS ani jakimkolwiek innym nazwanym systemie oceny. Właściwy język operacyjny zawarty jest w Załączniku I Część II, który wymienia obowiązki w zakresie obsługi podatności, jakie każdy producent musi spełniać przez cały okres wsparcia:

  • Lit. 2 zobowiązuje producentów do "obsługi i usuwania luk w zabezpieczeniach bez zbędnej zwłoki, w tym przez dostarczanie aktualizacji bezpieczeństwa".
  • Lit. 4 wymaga, aby po udostępnieniu aktualizacji bezpieczeństwa producenci dzielili się informacjami na temat naprawionej podatności, "w tym opisem podatności, informacjami umożliwiającymi użytkownikom identyfikację produktu z elementami cyfrowymi, którego dotyczy podatność, jej skutkami, ważnością oraz jasnymi i dostępnymi informacjami pomagającymi użytkownikom usunąć podatności".

Art. 13 ust. 8 obejmuje te obowiązki wymogiem "skutecznej obsługi" przez cały okres wsparcia. Sformułowanie "bez zbędnej zwłoki" z Załącznika I Część II lit. 2 oraz "bez nieuzasadnionej zwłoki" z art. 14 wyznaczają standard czasowy. Żadne z tych sformułowań nie oznacza ustalonej liczby dni. Oba podlegają interpretacji przez organy nadzoru rynku, a ostatecznie przez sądy krajowe.

Ocena ważności jest narzędziem, dzięki któremu producenci dokumentują tę interpretację w toku audytów i dochodzeń. Producent, który potrafi przedstawić udokumentowaną politykę ważności, system śledzenia rejestrujący CVSS i EPSS w chwili wykrycia, SLA powiązane z pasmami ważności oraz znaczniki czasu usunięcia luki zgodne z tymi SLA, dysponuje możliwą do obrony pozycją w zakresie wymogu "bez zbędnej zwłoki". Producent, który tego nie potrafi, nie ma takiej pozycji.

W zakresie szerszego reżimu obsługi luk z Załącznika I Część II zapoznaj się z artykułem obsługa podatności. Harmonogramy zgłaszania na podstawie art. 14 omówiono w artykule zgłaszanie podatności.

CVSS: nieodłączna ważność

Common Vulnerability Scoring System, utrzymywany przez FIRST CVSS Special Interest Group, ocenia podatność w skali od 0,0 do 10,0. Jest to dominująca miara nieodłącznej ważności w branży i wynik publikowany przez większość wpisów CVE.

CVSS wyróżnia trzy typy wyników:

Wynik bazowy

Odzwierciedla cechy podatności niezmienne w czasie i niezależne od środowiska wdrożenia: wektor ataku, złożoność, wymagane uprawnienia, interakcję użytkownika, zakres oraz wpływ na poufność, integralność i dostępność. Jest to wartość publikowana przez większość wpisów CVE i to, co zwyczajowo rozumie się przez "wynik CVSS".

Wynik tymczasowy

Koryguje wynik bazowy o czynniki zmienne w czasie: dojrzałość kodu exploita, poziom środków zaradczych, pewność zgłoszenia. Rzadko wypełniany w publicznych wpisach CVE.

Wynik środowiskowy

Koryguje wynik bazowy o kontekst środowiska wdrożenia: krytyczność zasobu, kompensujące mechanizmy kontrolne, rzeczywisty wpływ w danym środowisku. To właśnie ten wynik producent powinien obliczać dla własnego produktu.

CVSS v4.0 zostało opublikowane przez FIRST w listopadzie 2023 roku. Udoskonala wersję 3.1 poprzez bardziej szczegółowe metryki wymagań dotyczących ataku oraz metryki uzupełniające dotyczące bezpieczeństwa, możliwości automatyzacji, odporności i gęstości wartości. Wdrożenie przebiega stopniowo: większość kanałów CVE nadal publikuje wersję 3.1, a wsparcie narzędziowe dla wersji 4.0 jest nierównomierne. Tam, gdzie jest to możliwe, należy pobierać oba wyniki i nie traktować przejścia jako powodu do ponownego ustalenia priorytetów w zaległościach.

Sam CVSS jest niewystarczający. Badania empiryczne konsekwentnie wskazują, że większość podatności ocenionych jako "wysokie" lub "krytyczne" przez CVSS nigdy nie jest obserwowana jako wykorzystywana w praktyce. Kolejka oparta wyłącznie na CVSS pochłania zasoby inżynieryjne na ryzyko teoretyczne, podczas gdy rzeczywiste wykorzystanie pozostaje bez odpowiedzi.

EPSS: prawdopodobieństwo wykorzystania

Exploit Prediction Scoring System, również utrzymywany przez FIRST za pośrednictwem EPSS SIG, przewiduje prawdopodobieństwo, że CVE zostanie wykorzystana w praktyce w ciągu najbliższych 30 dni. EPSS publikuje prawdopodobieństwo między 0 a 1 oraz rangę percentylową względem wszystkich CVE.

EPSS jest obliczany przez model uczenia maszynowego, który przyjmuje atrybuty CVE (metryki CVSS, CWE, dotkniętego dostawcę i produkt, wiek) oraz sygnały publiczne (dostępność PoC, telemetrię wykorzystania od partnerów współpracujących, wzmianki w źródłach analizy zagrożeń). Wyniki są odświeżane codziennie. Nowe CVE bez publicznego PoC zazwyczaj uzyskują wynik poniżej 0,05; podatność z gotowym do użycia PoC może przekroczyć 0,5 w ciągu kilku dni.

Sam EPSS również jest niewystarczający. Niski wynik EPSS dzisiaj nie stanowi gwarancji na jutro: gdy badacz opublikuje działający exploit, wynik zmienia się. EPSS musi być ponownie oceniany na bieżąco, a nie wyłącznie w chwili wykrycia podatności.

CISA KEV: potwierdzone wykorzystanie

Katalog Known Exploited Vulnerabilities, utrzymywany przez US Cybersecurity and Infrastructure Security Agency, jest dwustanową listą "czy podatność jest aktualnie wykorzystywana". CVE albo figuruje w katalogu, albo nie. CISA dodaje CVE, gdy dysponuje wiarygodnymi dowodami aktywnego wykorzystania wobec jakiegokolwiek celu.

KEV jest źródłem rządowym USA, jednak stanowi najbardziej autorytatywny publiczny katalog potwierdzonych przypadków wykorzystania dostępny dla podmiotów spoza społeczności wywiadowczej. Producenci z UE korzystają z niego powszechnie, gdyż żaden równoważny katalog ENISA nie istnieje na dzień dzisiejszy.

Na potrzeby art. 14 ust. 1 figurowanie w KEV jest silnym sygnałem, że podatność jest "aktywnie wykorzystywana" w rozumieniu rozporządzenia. Nie jest to jednak jedyny sygnał: art. 14 ust. 1 jest szerszy i obejmuje każdą aktywnie wykorzystywaną podatność, w tym wykrytą na podstawie zgłoszeń klientów, wewnętrznej telemetrii lub analizy zagrożeń, która jeszcze nie dotarła do CISA. Podatność wykorzystywana wobec klientów producenta, ale jeszcze niefigurująca w KEV, nadal wyzwala art. 14 ust. 1. Ustalenie na podstawie art. 14 ust. 1 ma charakter faktyczny, a nie listowy.

Łączenie CVSS, EPSS i KEV w macierz priorytyzacji CRA

Żaden pojedynczy sygnał nie jest wystarczający. Podejście możliwe do obrony polega na łączeniu wszystkich trzech sygnałów i powiązaniu SLA remediacyjnych z łącznym pasmem. Poniższy diagram ilustruje, dlaczego: CVSS 9,8 bez zaobserwowanego wykorzystania wiąże się z niższym rzeczywistym ryzykiem niż CVSS 7 z EPSS 0,95 i figurowaniem w KEV, mimo że pierwszy z nich wygląda gorzej w kolejce opartej wyłącznie na CVSS.

Płaszczyzna priorytyzacji CVSS i EPSS z nakładką KEV Dwuwymiarowa płaszczyzna z CVSS na osi poziomej (0 do 10) i EPSS na osi pionowej (0 do 1). Sześć stref priorytetów koloruje wykres: Krytyczne w prawym górnym rogu przy CVSS równym lub wyższym niż 9 i EPSS powyżej 0,5; Wysoki w trzech większych strefach (wysoki EPSS ze średnim CVSS, wysoki CVSS ze średnim EPSS oraz górny prawy pas CVSS i EPSS); Średni dla CVSS od 4 do 6,9 przy niskim EPSS; Niski dla CVSS poniżej 4. CVE figurujące w KEV są eskalowane do Krytycznego niezależnie od pozycji. Cztery przykładowe CVE ilustrują, że CVSS 9,8 z EPSS 0,01 znajduje się w paśmie Wysokim wyłącznie ze względu na nieodłączną ważność, natomiast CVSS 7,5 z EPSS 0,95 i KEV znajduje się w paśmie Krytycznym, mimo że jego CVSS jest niższy. Dlaczego jeden sygnał nie wystarczy: płaszczyzna CVSS × EPSS z nakładką KEV Krytyczne Wysoki Wysoki Wysoki Średni Niski 0 4 7 9 10 Wynik bazowy CVSS (nieodłączna ważność) 0.0 0.5 1.0 EPSS (prawdopodobieństwo wykorzystania w 30 dni) A B C D Przykładowe CVE naniesione na wykres A. CVSS 9,8 / EPSS 0,01. Pasmo Wysokie ze względu na nieodłączną ważność, brak zaobserwowanego wykorzystania. B. CVSS 7,5 / EPSS 0,95 / figuruje w KEV (★). Krytyczne: KEV zawsze eskaluje niezależnie od CVSS lub EPSS. C. CVSS 5,5 / EPSS 0,7. Wysokie ze względu na sam EPSS, średnia nieodłączna ważność. D. CVSS 4,0 / EPSS 0,05. Średnie.
Priorytyzacja dwusygnałowa: CVSS ujmuje nieodłączną ważność, EPSS ujmuje zaobserwowane prawdopodobieństwo wykorzystania, KEV jest dwustanową nakładką aktywnego wykorzystania. CVE-A (wysokie CVSS, bliskie zeru EPSS) i CVE-B (średnie CVSS, figurujące w KEV) mają odwrócony priorytet w porównaniu z kolejką opartą wyłącznie na CVSS.
Pasmo Kombinacja sygnałów SLA remediacyjne Implikacja dla CRA
Krytyczne CVSS Critical (9,0+) ORAZ (figuruje w KEV LUB EPSS > 0,5) Dni, nie tygodnie Kandydat do zgłoszenia z art. 14 ust. 1, jeżeli wykorzystanie dotyczy produktu producenta
Wysokie CVSS High (7,0-8,9) LUB EPSS > 0,5 30 dni Pozycja "bez zbędnej zwłoki" jest zagrożona powyżej 30 dni
Średnie CVSS Medium (4,0-6,9), EPSS < 0,5, nie figuruje w KEV 90 dni Możliwe do obrony na podstawie Załącznika I Część II lit. 2 przy odpowiedniej dokumentacji
Niskie CVSS Low (< 4,0) Następny regularny cykl wydań Odroczyć i odnotować decyzję w rejestrze obsługi podatności

Macierz stanowi politykę producenta, a nie wymóg CRA. Jej zapisanie daje organom nadzoru rynku udokumentowaną, powtarzalną podstawę dla decyzji remediacyjnych, które będą przedmiotem kontroli po tym, jak poważna podatność stanie się publiczna. Organy nie zaakceptują wyjaśnienia "łataliśmy, kiedy mieliśmy czas" jako obrony na podstawie Załącznika I Część II lit. 2; zaakceptują natomiast stwierdzenie: "nasza polityka klasyfikuje każde CVE w chwili wykrycia, to CVE trafiło do pasma Wysokiego, dostarczyliśmy je w ramach 30-dniowego SLA, oto znaczniki czasu".

Powiązanie ważności z wyzwalaczami zgłoszeń z art. 14

Art. 14 dzieli się na dwa strumienie z tymi samymi zegarami 24-godzinnymi i 72-godzinnymi, lecz z różnymi terminami raportu końcowego:

  • Aktywnie wykorzystywana podatność (art. 14 ust. 1 i 14 ust. 2). Wczesne ostrzeżenie w ciągu 24 godzin, powiadomienie o podatności w ciągu 72 godzin, raport końcowy w ciągu 14 dni od udostępnienia środka naprawczego lub łagodzącego.
  • Poważny incydent (art. 14 ust. 3 i 14 ust. 4). Wczesne ostrzeżenie w ciągu 24 godzin, powiadomienie o incydencie w ciągu 72 godzin, raport końcowy w ciągu 1 miesiąca od powiadomienia w ciągu 72 godzin.

Żaden z wyzwalaczy nie jest progiem CVSS. "Aktywne wykorzystanie" to ustalenie faktyczne: złośliwy podmiot użył podatności wobec produktu producenta. Art. 14 ust. 5 definiuje "poważny incydent" jako taki, który "negatywnie wpływa lub jest zdolny negatywnie wpłynąć na zdolność produktu z elementami cyfrowymi do ochrony dostępności, autentyczności, integralności lub poufności danych lub funkcji wrażliwych lub istotnych" albo który "doprowadził lub jest zdolny doprowadzić do wprowadzenia lub wykonania złośliwego kodu w produkcie z elementami cyfrowymi lub w sieci i systemach informatycznych użytkownika".

CVSS i EPSS wspierają to ustalenie. Podatność krytyczna według CVSS z EPSS > 0,9 i figurowaniem w KEV silnie sugeruje obszar art. 14 ust. 1, gdy pojawią się dowody, że wykorzystanie dotyczy produktu producenta. Nie zastępują jednak samego ustalenia. Zegar 24-godzinny liczy od momentu, gdy producent uzyska świadomość aktywnego wykorzystania, a nie od momentu, gdy wynik CVSS przekroczy jakikolwiek próg liczbowy.

Pełny harmonogram art. 14 omówiono w artykule zgłaszanie podatności. Kanał pobierania, który często dostarcza pierwszy sygnał o wykorzystaniu, opisano w artykule koordynowane ujawnianie podatności.

Operacjonalizacja oceny w procesie obsługi podatności

Sprawny proces oceny ważności zgodny z CRA obejmuje sześć konkretnych elementów:

  1. Pobieranie CVSS w momencie skanowania. Potok SBOM-do-CVE powinien przypisywać wyniki bazowe CVSS do każdego znaleziska przy pierwszym wykryciu. Mechanikę mapowania opisano w artykule SBOM.
  2. Codzienne odświeżanie EPSS. Zadanie nocne ponownie oceniające otwarte podatności to minimum.
  3. Monitorowanie CISA KEV. Subskrypcja kanału KEV z automatyczną eskalacją każdej otwartej podatności, która trafia do katalogu.
  4. Definiowanie SLA dla każdego pasma w systemie śledzenia. Pasma i terminy muszą być możliwe do odczytu maszynowego, aby zaległe pozycje wyświetlały się bez ręcznego triażu.
  5. Eskalacja przy przekroczeniu progu. Gdy EPSS przekracza 0,5 dla otwartego znaleziska, gdy KEV dodaje jedno z CVE producenta lub gdy klient zgłasza aktywne wykorzystanie, pozycja automatycznie przesuwa się do pasma krytycznego.
  6. Automatyzacja mapowania komponentów SBOM do CVE. Ręczne mapowanie nie sprawdza się na dużą skalę i jest najczęstszym źródłem pominiętych podatności w wynikach audytów.

Rejestracja w Jednolitej Platformie Zgłaszania ENISA to odrębny, lecz powiązany obszar działań. Zob. rejestracja w ENISA SRP.

Częste błędy

  • Skupianie się na CVSS-9 przy ignorowaniu EPSS-0,95. Podatność z CVSS 7 i EPSS 0,95 oraz publicznym PoC wiąże się z wyższym rzeczywistym ryzykiem niż CVSS 9,8 z EPSS 0,01.
  • Założenie, że KEV jest kompletny. KEV to najlepszy publiczny katalog, ale ma opóźnienia. Aktywne wykorzystanie wobec klientów producenta może poprzedzać figurowanie w KEV o dni lub tygodnie.
  • Traktowanie CVSS jako terminu. Krytyczny wynik CVSS nie oznacza "łataj w ciągu 24 godzin". Oznacza "przeanalizuj to w pierwszej kolejności". Termin wynika z SLA wynikającego z polityki, EPSS, statusu KEV oraz ostatecznie ze standardu "bez zbędnej zwłoki" z Załącznika I Część II lit. 2.
  • Nieodświeżanie wyników EPSS. Podatność z EPSS 0,02 przy wykryciu, której wynik nigdy nie został ponownie oceniony, pozostaje w kolejce niskiego priorytetu, podczas gdy realne wykorzystanie rośnie poza zasięgiem producenta.
  • Ignorowanie modyfikatorów środowiskowych CVSS. Wynik bazowy CVSS równy 9,8 dla komponentu, który produkt nigdy nie inicjuje, nie wynosi 9,8 w środowisku producenta. Należy udokumentować wynik środowiskowy i jego uzasadnienie.
  • Stosowanie CVSS lub EPSS jako wyzwalacza art. 14. Art. 14 ust. 1 jest wyzwalany przez faktyczne aktywne wykorzystanie. Wynik to dowód pomocniczy, a nie samo ustalenie.

Często zadawane pytania

Czy CRA wymaga stosowania CVSS?

Nie. CRA nie wskazuje CVSS ani żadnego innego systemu oceny. Załącznik I Część II lit. 4 wymaga komunikowania "ważności" przy ujawnianiu naprawionej podatności, jednak nie określa skali. CVSS jest branżowym standardem domyślnym i najłatwiejszą skalą do obrony w audycie. Niestandardowa lub alternatywna skala prowadząca do równoważnych rezultatów operacyjnych jest dopuszczalna pod warunkiem, że jest udokumentowana i stosowana spójnie.

Czy EPSS jest obowiązkowy na podstawie CRA?

Nie. EPSS nie jest wymieniony w rozporządzeniu. Pomaga jednak wykazać spełnienie standardu "bez zbędnej zwłoki" z Załącznika I Część II lit. 2, ponieważ dowodzi, że priorytyzacja uwzględniała rzeczywiste prawdopodobieństwo wykorzystania w praktyce, a nie wyłącznie nieodłączną ważność. Producent ignorujący prawdopodobieństwo wykorzystania i stosujący łatki wyłącznie według rankingu CVSS będzie miał trudności z uzasadnieniem powolnej remediacji znaleziska o wysokim EPSS po fakcie.

Jak ocena ważności wpływa na 24-godzinny zegar z art. 14?

Nie zmienia momentu uruchomienia zegara. Zegar startuje w chwili, gdy producent uzyska świadomość aktywnego wykorzystania, niezależnie od wyniku CVSS. Ocena ważności pomaga w triażu sygnałów wchodzących i decydowaniu, które z nich osiągają próg świadomości, jednak gdy tylko wykorzystanie zostanie wiarygodnie ustalone, zegar biegnie nawet wówczas, gdy wynik CVSS nie został jeszcze sfinalizowany.

Czy możemy stosować własny system oceny?

Tak, pod warunkiem że można go obronić w audycie. Schemat łączący wewnętrzny kontekst modelu zagrożeń z sygnałami zewnętrznymi jest akceptowalny, jeżeli jest udokumentowany, stosowany spójnie i prowadzi do wyników remediacyjnych zgodnych ze standardem "bez zbędnej zwłoki" z Załącznika I Część II lit. 2. Branżowy standard łączący CVSS, EPSS i KEV jest ścieżką najmniejszego oporu, ponieważ każdy organ nadzoru rynku będzie go rozpoznawał.

Czy CRA karze za błędny wynik ważności?

CRA penalizuje nieskuteczną obsługę podatności (Załącznik I Część II) oraz brak zgłoszenia na podstawie art. 14. Możliwa do obrony polityka oceny ważności z udokumentowanym stosowaniem chroni producenta. Pojedynczy błędny wynik nie stanowi naruszenia; brak procesu lub jego niespójne stosowanie -- tak.

Czy stosować CVSS v3.1 czy v4.0?

Obie wersje, tam gdzie są dostępne. CVSS v4.0 zostało opublikowane przez FIRST w listopadzie 2023 roku i udoskonala wersję 3.1 poprzez bardziej szczegółowe metryki wymagań dotyczących ataku oraz metryki uzupełniające dotyczące bezpieczeństwa, możliwości automatyzacji, odporności i gęstości wartości. Wdrożenie przebiega stopniowo: większość publicznych kanałów CVE nadal publikuje wersję 3.1, a wsparcie narzędziowe dla wersji 4.0 jest nierównomierne. Tam, gdzie źródło dostarcza oba sygnały, należy je pobierać, nie traktując przejścia z wersji 3.1 na 4.0 jako powodu do ponownego ustalenia priorytetów w zaległościach.

Kolejne kroki w kierunku procesu oceny ważności możliwego do obrony przed CRA

  1. Udokumentować politykę ważności: pasma, sygnały (CVSS, EPSS, KEV), SLA dla każdego pasma, reguły eskalacji.
  2. Podłączyć pobieranie CVSS do potoku SBOM-do-CVE w momencie skanowania. Zob. przewodnik po klastrze SBOM.
  3. Zaplanować codzienne zadanie odświeżające EPSS oraz subskrypcję CISA KEV z automatyczną eskalacją, gdy śledzone CVE trafia do katalogu.
  4. Przypisać każdą otwartą podatność do pasma i wyznaczyć właścicieli dla pozycji przekraczających SLA.
  5. Powiązać kryteria świadomości z art. 14 z tymi samymi sygnałami, aby ocena ważności i decyzje o zgłoszeniu nie rozchodziły się w czasie. Zob. przewodnik po zgłaszaniu na podstawie art. 14.
  6. Prowadzić bieżący rejestr każdej decyzji o ważności i odpowiadającego jej znacznika czasu remediacji, aby wymóg "bez zbędnej zwłoki" był udokumentowany, a nie tylko deklarowany.