EPSS (Exploit Prediction Scoring System),中文名为利用预测评分系统,是由 FIRST.org(Forum of Incident Response and Security Teams,事件响应与安全团队论坛)联合多个安全研究机构共同开发和维护的一个开放框架。
EPSS 的目标是预测某个已知漏洞(CVE, Common Vulnerabilities and Exposures / 通用漏洞和暴露)在野外(in the wild / 在野)被实际攻击者利用的可能性,从而帮助组织更有效地进行漏洞优先级排序(Vulnerability Prioritization)。
核心思想 / Core Concept
传统的漏洞评分系统,如 CVSS(Common Vulnerability Scoring System / 通用漏洞评分系统),主要评估漏洞的技术严重性(Technical Severity),例如影响范围、攻击复杂度、所需权限等,但它不预测该漏洞是否会被实际利用。
而 EPSS 则专注于回答另一个关键问题:
“这个漏洞在未来 30 天内被黑客在野外用于攻击的概率有多大?”
What is the probability that this vulnerability will be exploited in the wild within the next 30 days?
EPSS 提供的是一个概率值(Probability Score),范围从 0 到 1(或 0% 到 100%),数值越高,表示该漏洞越有可能被攻击者利用。
EPSS 分数示例 / Example of EPSS Scores
| CVE ID | CVSS Score | EPSS Score | 说明 / Description |
|---|---|---|---|
| CVE-2025-xxxx | 9.8 | 0.02 | 虽然严重性高,但被利用概率低 / High severity, but low exploit likelihood |
| CVE-2025-yyyy | 7.2 | 0.89 | 中等严重性,但极可能被利用 / Moderate severity, but highly likely to be exploited |
👉 安全团队应优先修复 EPSS 高 的漏洞,即使其 CVSS 分数不是最高。
EPSS 如何工作?/ How EPSS Works
EPSS 使用机器学习模型(Machine Learning Model),基于大量历史攻击数据训练而成。其输入特征包括:
- 漏洞类型(CWE, Common Weakness Enumeration / 通用缺陷枚举)
- CVSS 各维度评分(如攻击向量 Attack Vector、攻击复杂度 Attack Complexity、权限要求 Privileges Required 等)
- 漏洞披露时间(Disclosure Date)
- 是否有公开的 PoC(Proof of Concept / 概念验证代码)
- 相关漏洞的利用趋势(Exploitation Trends)
- 受影响软件的流行度(Software Popularity)
输出是一个 0~1 之间的概率分数(Probability Score),例如:
-
EPSS: 0.01→ 1% 的概率在 30 天内被利用 -
EPSS: 0.95→ 95% 的概率在 30 天内被利用
EPSS 数据获取 / EPSS Data Access
EPSS 分数每日更新(Updated Daily),可通过以下方式获取:
- 官方网站:first.org/epss
- 下载 CSV/JSON 格式的完整数据集
- 使用 API 查询特定 CVE 的 EPSS 分数
# 示例:通过 curl 查询 CVE 的 EPSS 分数
curl https://api.first.org/data/v1/epss?cve=CVE-2023-1234
返回示例(JSON):
{
"data": [
{
"cve": "CVE-2023-1234",
"epss": "0.02132",
"percentile": "0.45"
}
]
}
其中:
-
"epss":该漏洞的被利用概率 -
"percentile":该漏洞在所有漏洞中的风险百分位(越接近 1.0 越危险)
EPSS 的优势 / Advantages of EPSS
| 优势 / Advantage | 说明 / Description |
|---|---|
| 预测性强 / Predictive Power | 帮助识别“高风险”而非“高评分”的漏洞 |
| 数据驱动 / Data-Driven | 基于真实世界攻击行为建模 |
| 免费开放 / Free & Open | 所有数据和模型公开可用 |
| 与 CVSS 互补 / Complements CVSS | 结合使用可实现更精准的风险排序 |
实际应用场景 / Practical Use Cases
-
漏洞优先级排序(Vulnerability Prioritization)
- 将 EPSS 与 CVSS 结合,构建“风险矩阵”:
- 高 CVSS + 高 EPSS → 紧急修复(Critical)
- 低 CVSS + 高 EPSS → 潜在威胁,需关注(Watchlist)
- 高 CVSS + 低 EPSS → 可暂缓(Low Priority)
- 将 EPSS 与 CVSS 结合,构建“风险矩阵”:
-
自动化安全响应(Automated Security Response)
- 集成到 SIEM(Security Information and Event Management / 安全信息与事件管理) 或 SOAR(Security Orchestration, Automation and Response / 安全编排、自动化与响应) 平台,自动标记高风险漏洞。
-
红队/蓝队演练(Red Team / Blue Team Exercises)
- 红队可参考高 EPSS 漏洞设计攻击路径。
- 蓝队据此加强防御和监控。
EPSS 与 CVSS 对比 / EPSS vs CVSS
| 维度 / Dimension | CVSS | EPSS |
|---|---|---|
| 目的 / Purpose | 评估漏洞技术严重性 | 预测被利用概率 |
| 输出 / Output | 0–10 分数 | 0–1 概率值(Probability Score) |
| 时间维度 / Time Aspect | 静态(发布时确定) | 动态(每日更新 / Updated Daily) |
| 数据基础 / Data Basis | 技术指标(Technical Metrics) | 历史利用数据 + 机器学习 |
| 是否预测攻击行为 | 否 | 是 |
最佳实践(Best Practice):结合使用 CVSS 和 EPSS,实现更全面的风险评估。
总结 / Summary
- EPSS 是现代漏洞管理(Vulnerability Management)的关键工具,尤其适用于大规模资产环境中优化补丁优先级。
- 它让安全团队从“修复所有高危漏洞”转向“优先修复最可能被攻击的漏洞”。
- 推荐将 EPSS 集成到漏洞管理系统或安全运营中心(SOC, Security Operations Center)平台中。
如果你是安全工程师(Security Engineer)、CISO(Chief Information Security Officer / 首席信息安全官)或漏洞管理负责人,EPSS 是你提升响应效率、降低风险的有力助手。
