Ещё раз про EPSS Prob­a­bil­i­ty и EPSS Per­centile. В одной соцсеточке для профессионального общения от компании Microsoft меня увещевают отказаться от ереси и все-таки использовать EPSS Prob­a­bil­i­ty в Vul­ris­tics вместо EPSS Per­centile. 🙂 Кажется имеет смысл продолжить тему.

1. Про разницу между Prob­a­bil­i­ty и Per­centile, как их понимать и интерпретировать, есть подробная статья на официальном сайте. Вопрос: можно ли как-то получить из EPSS уровни критичности а‑ля CVSS Base Score. Ответ: нет, нельзя. "По этим причинам EPSS в настоящее время не группирует результаты EPSS с использованием ярлыков" ("For these rea­sons, EPSS does not cur­rent­ly bin EPSS scores using labels"). В своём праве.

2. То, что они генерят в виде EPSS Prob­a­bil­i­ty, "вероятности эксплуатации", это просто очень маленькие цифири из нейронки, которые непонятно как сравнивать адекватно. Они даже в тех примерах, которые я рассматривал, маленькие. EPSS-ники сами об этом пишут в статье "Например, как пользователи должны интерпретировать общую важность (over­all impor­tance) уязвимости с вероятностью 0,212? Или, по-другому, как мы должны думать о сравнении относительной разницы в угрозе между вероятностью 0,115 и 0,087? Да, одна больше другой, но насколько больше? Насколько велика разница в угрозе первой уязвимости по сравнению со второй?" Для прошлого Patch Tues­day EPSS Prob­a­bil­i­ty для всех уязвимостей, была между 0 и 0.2 (0–20%). Даже для уязвимостей с отмеченной эксплуатацией в CISA KEV! Это с каким же весом мне надо брать эти значения, чтобы они хоть как-то влияли на итоговый скор? 🙂

3. Ну да, EPSS Per­centile это результат ранжирования уязвимостей по EPSS Prob­a­bil­i­ty, величина искусственная и зависит от общего числа CVE. И она меняется со временем, так же как и EPSS Prob­a­bil­i­ty. Ну так и в чем проблема? EPSS Per­centile это тоже какая-то искусственная величина из нейронки полученная. По EPSS Per­centile хотя бы видно как эта нейронка оценивает конкретную уязвимость относительно всех остальных. То, что нам собственно и надо. 😉 И тут более-менее понятно, есть 0.8–1, то критично, а если 0–0.2 это фигня какая-то. Ну, в идеале. Потому что на практике, как я уже подсвечивал, бывают странности.