Alors que le mythe d’Anthropic signale une transition vers une découverte de vulnérabilités sans précédent à la vitesse des machines, EPSS suscite un regain d’attention pour donner la priorité aux prochaines vagues de rapports.
Le mythe d’Anthropic a intensifié un problème que les programmes de gestion des vulnérabilités avaient déjà du mal à contenir : trop de vulnérabilités et pas assez de clarté sur celles qui sont importantes.
Ce qui change avec Mythos – et la classe de systèmes de découverte de vulnérabilités basés sur l’IA qu’il représente – c’est la vitesse à laquelle les failles logicielles peuvent être trouvées et exploitées.
Cette rapidité soulève une question plus immédiate pour les défenseurs : quelles vulnérabilités nécessitent une action ?
Anthropic a indiqué une méthode. Dans le cadre de ses travaux sur les infractions accélérées par l’IA, la société a recommandé d’utiliser l’Exploit Prediction Scoring System (EPSS), un modèle probabiliste développé par les scientifiques des données derrière Empirical Security et publié via FIRST, comme moyen de trier les vulnérabilités à mesure que les découvertes augmentent.
Selon Anthropic, « corriger d’abord la liste KEV (catalogue de vulnérabilités exploitées connues du CISA), puis tout ce qui dépasse un seuil EPSS choisi vous aidera à transformer des milliers de CVE ouverts en une file d’attente gérable. »
Roytman a ajouté : « Nous ne gérons pas la pluie en ayant constamment un parapluie sur la tête. Nous avons des modèles prédictifs qui nous disent si nous devons ou non apporter un parapluie. »
Un système déjà mis à rude épreuve
Le mythe arrive alors que l’écosystème de vulnérabilité est déjà mis à rude épreuve.
Plus récemment, le volume de nouvelles vulnérabilités a contraint le NIST à réduire l’enrichissement de sa base de données nationale sur les vulnérabilités (NVD) à certains CVE uniquement. Le NVD enrichit les rapports de vulnérabilité avec des scores CVSS, développés par FIRST, tandis que l’EPSS fournit une estimation distincte de la probabilité d’exploitation.
« Le fait qu’ils (le NIST) réduisent les vulnérabilités sur lesquelles ils vont se concentrer (pour CVSS) est dû au fait que tout est piloté par l’homme », a déclaré Bellis. L’EPSS, en revanche, est piloté par une machine et peut être appliqué à tous les CVE, avec des scores publiés quotidiennement.
« C’est piloté par la machine, et c’est un modèle d’apprentissage automatique qui finit par identifier cette vulnérabilité », a ajouté Bellis. « Aujourd’hui, la pratique moyenne de gestion des vulnérabilités n’envisage pas la question dans une perspective d’apprentissage automatique et basée sur les données, mais elle pourrait l’être. »
Selon le Zero Day Clock, le temps moyen pour exploiter une vulnérabilité après sa découverte atteindra une heure cette année, et seulement une minute d’ici 2028, contre 2,3 ans en 2018.
Les responsables de la sécurité mettent en balance les promesses et la réalité
Les fournisseurs de sécurité intègrent de plus en plus les scores EPSS dans leurs systèmes.
Selon Roytman, EPSS a été intégré dans plus de 120 produits de fournisseurs de sécurité, notamment CrowdStrike, Cisco, Palo Alto Networks, Qualys et Tenable.
« EPSS, lorsqu’il est appliqué aux (failles logicielles), est une étape essentielle pour pouvoir savoir si cette vulnérabilité exploitable s’applique à votre implémentation ou opération », a-t-il déclaré, ajoutant que « le rôle que l’EPSS peut jouer dans l’identification des vulnérabilités non CVE identifiées à partir de Mythos et d’autres modèles à venir est extrêmement utile ».
Tous les défenseurs n’adoptent pas le concept d’EPSS ou même de CVSS pour répondre à la découverte rapide de vulnérabilités.
La gestion de l’exposition s’étendra au-delà des CVE
Alors que l’essentiel de l’analyse de la capacité de Mythos à découvrir des vulnérabilités s’est concentrée sur les applications courantes auxquelles les CVE peuvent être appliqués, ses découvertes révéleront très probablement des millions d’autres vulnérabilités qui ne répondent pas à cette définition. « Un processus similaire se produit dans les cloud et les applications, où il n’y a pas d’énumérateur commun pour ces applications », a déclaré Roytman d’Empirical Security.
« Ma candidature est très différente de la vôtre, même si elle est rédigée dans la même langue », a-t-il ajouté. « Ainsi, lorsque nous pensons à l’extension de cette modélisation probabiliste à l’ensemble de la gestion des expositions, ce qui pourrait être un problème plus important que les CVE eux-mêmes, nous devons penser à la création de modèles prédictifs locaux pour les applications, les cloud, les configurations, les erreurs de configuration, et c’est un autre exercice visant à tirer parti des outils de sécurité existants et à créer de petits modèles spécialement conçus plutôt que de laisser des humains effectuer le travail de tri manuel.
En bref, Mythos et les modèles d’IA concurrents seront bientôt capables de trouver des millions et des millions de vulnérabilités qui ne rentrent pas dans le modèle CVE. « Nous voyons constamment des entreprises qui pourraient avoir des dizaines de millions d’instances ouvertes de vulnérabilités, sans parler du grand nombre de ces classes de failles qu’elles vont découvrir sur le front de l’IA », a déclaré Bellis.
« C’est un problème, mais le ciel ne nous tombe pas sur la tête », a déclaré Roytman. « Il existe des méthodes pour le gérer. »
