EPSS ile Zafiyet Önceliklendirme: Sömürü Olasılığını Tahmin Etmek

EPSS Hangi Problemi Çözmeye Çalışıyor?

Güvenlik ekipleri bulgu eksikliğinden değil, çok sayıda bulgunun aynı anda acil görünmesinden bunalıyor. EPSS tam bu noktada değer üretiyor. CVSS'in cevapladığı soru farklı, EPSS'in cevapladığı soru farklı. CVSS "sömürülürse etki ne kadar büyük olur?" diye soruyor. EPSS ise "gözlemlenen gerçek dünya sinyallerine dayanarak, yakın vadede fiilen sömürülme olasılığı ne kadar yüksek?" sorusuna veri destekli bir tahminle yaklaşıyor.

Bu ayrım teorik değil; kaynak tahsisi, patch penceresi planlaması, istisna yönetimi kriterleri ve operasyon ekibinin bu haftaki önceliklerini doğrudan etkiliyor.

Severity ile Probability Aynı Şey Değil

CVSS 9.8 olan bir açıklık, niş bir üründe bulunuyorsa, erişilmesi zorsa veya tehdit aktörleri için çekici bir saldırı yolu açmıyorsa aylarca sessiz kalabiliyor. Tersine, daha düşük severity'li bir açıklık, kamuya açık exploit kodu çıktığında, kitlesel tarama aktivitesi başladığında veya aktif bir tehdit grubunca silahlandırıldığında anında birinci öncelik haline gelebiliyor.

Olgun bir program bu nedenle her iki ekseni eş zamanlı izliyor:

| Sinyal | Cevapladığı soru |

| --- | --- |

| CVSS | sömürülürse potansiyel etki ne kadar büyük? |

| EPSS | yakın vadede gerçekten sömürülme olasılığı ne kadar? |

EPSS Hangi Verilerle Beslenir?

EPSS modeli, tarihsel olarak gözlemlenen sömürü aktivitesiyle korelasyon gösteren gerçek dünya sinyallerinden besleniyor:

zafiyet metadatası ve ilişkili CWE kalıpları.

yayımlanma zamanı, vendor bağlamı ve etkilenen ürün özellikleri.

Exploit-DB, GitHub ve Metasploit gibi kamuya açık kaynaklarda exploit kodu varlığı.

ağ sensörleri ve partner veri akışlarından elde edilen tehdit telemetrisi.

Amaç yüzde yüz kesinlik üretmek değil. Amaç, "kritik görünen her şeyi aynı anda yamala" refleksini, veri destekli bir olasılık tahminiyle daha savunulabilir ve verimli hale getirmek.

Daha Gerçekçi Bir Patch Kuralı

Sabit bir CVSS eşiğinin üzerindeki her şeyi yamamayı hedefleyen programlar çoğunlukla orantılı risk azaltımı yerine operasyonel yük yaratıyor. Hibrit bir önceliklendirme kuralı hem daha savunulabilir hem de daha verimli:

IF (CVSS >= 7.0 OR EPSS >= 0.15) THEN Patch_SLA = 48_Hours

Bu tür bir kural analist muhakemesini ortadan kaldırmıyor; ama kuyruğu daha dürüst hale getiriyor. Yakın vadeli sömürü olasılığı yüksek açıklıkları, teorik etkisi büyük ama hareketsiz kalan açıklıklarla aynı düzlemde değerlendirmek yerine riskin gerçekten yoğunlaştığı noktaları öne çıkarıyor.

EPSS Eşik Karar Tablosu

Tek bir kesim noktası uygulamak yerine, programlar katmanlı SLA atamak için EPSS bantlarını kullanabilir:

| EPSS Skoru | Yorum | Önerilen SLA |

| --- | --- | --- |

| ≥ 0.70 | Yüksek sömürü olasılığı — aktif veya yakın | 24 saat içinde yama |

| 0.30 – 0.69 | Orta olasılık — saldırgan ilgisi gözlemlendi | 7 gün içinde yama |

| 0.10 – 0.29 | Düşük-orta olasılık — yakından izle | 30 gün içinde yama |

| < 0.10 | Düşük olasılık — CVSS ≥ 9.0 değilse düşük öncelik | Sonraki döngüye bırak |

Bu eşikler, kurumun yama kapasitesine ve risk iştahına göre kalibre edilmeli. Önemli olan kesin sayılar değil — tek tip aciliyetin yerini veri güdümlü, katmanlı bir kuyruğun alması.

EPSS İleriye Dönüktür; CVSS Değil

Bu ayrım operasyonel açıdan kritik: CVSS, ifşa anındaki statik severity'yi ölçüyor ve hiç değişmiyor. 2021'de atanan CVSS 9.8, zafiyet hiç sömürülmese bile 2026'da da 9.8 olmaya devam ediyor. EPSS ise tam tersine her gün taze tehdit sinyallerine — exploit kodu yayımlanması, tarama aktivitesi, tehdit grubu ilgisi — göre yeniden hesaplanıyor. Çalışan bir PoC yayımlandığında bir zafiyetin EPSS skoru bir gecede sıçrayabilir, savunmacılar yaygın yama yaptıkça yatışabilir. Bu zamansal duyarlılık, EPSS'i farklı türde bir sinyal yapan şey — CVSS'in yerini almıyor, onu zorunlu biçimde tamamlıyor.

Alert Fatigue ile Mücadelede Neden Kritik?

EPSS'in en pratik faydası triage verimliliği. Binlerce bulguyu eşit aciliyet düzeyinde ele almak yerine analistler, remediation enerjilerini tehdit aktörlerinin mevcut ortamda gerçekten sömürmeye yöneldiği alt kümeye odaklayabiliyor. Bu hem patch mühendislik ekibini hem SecOps'u sürdürülebilir bir operasyonel tempoda tutuyor.

MyVuln Yaklaşımı

MyVuln, EPSS'i statik bir günlük sayı olarak değil yaşayan bir sinyal olarak okuduğunda operasyonel değerini ortaya koyuyor. Kamuya açık PoC yayınlandığında, tarama aktivitesi ivme kazandığında veya yeni tehdit istihbaratı ortaya çıktığında, belirli bir CVE için sömürü olasılığı kayda değer biçimde değişebiliyor. EPSS'i KEV verileri, maruziyet durumu ve varlık kritiğiyle birlikte okumak, güvenilir SLA kararlarına zemin hazırlayan bütüncül risk görünümünü üretiyor.