Black Hat USA 2019で新しい脆弱性のスコアリングシステムThe Exploit Prediction Scoring System (EPSS)が提案された。
多くの企業がCVSSという脆弱性のスコアを参考にどの脆弱性を対応するのかの判断に利用し、スコアが7以上のものは重要と判断される。
しかし、重要と判断された脆弱性のうち、実際に悪用されるのは2-5%程度のため、その全ての脆弱性に対応するのは時間とお金の無駄である。
Kenna SecurityのMichael RoytmanとCyentia InstituteのJay Jacobsは実際に悪用される恐れの高い脆弱性を予測し、パーセンテージとして表示するThe Exploit Prediction Scoring System (EPSS)を提案した。
過去のデータを元にどのような要素が悪用される脆弱性の特定に利用できるのかを機械学習(Elastic Net)を利用し求めた。
このEPSSを利用することで従来のCVSS (7以上) を利用した場合よりも61%対応する脆弱性の数を減らし、同等の効果を得ることができる。
