EPSS vs CVSS: cum prioritizezi corect vulnerabilitățile în 2026
Orice echipă de securitate ajunge, mai devreme sau mai târziu, la aceeași problemă: sunt prea multe vulnerabilități „critice" și prea puțin timp. Dacă totul e prioritate, nimic nu e.
CVSS singur nu rezolvă asta, pentru că măsoară o singură dimensiune: cât de gravă ar fi o exploatare. EPSS adaugă a doua dimensiune, cea care schimbă totul în practică: cât de probabil este să se întâmple.
Ce măsoară fiecare
- ▸CVSS (Common Vulnerability Scoring System): severitatea tehnică, pe o scală de la 0 la 10. Răspunde la „cât de rău ar fi dacă e exploatată?".
- ▸EPSS (Exploit Prediction Scoring System): probabilitatea ca vulnerabilitatea să fie exploatată în următoarele 30 de zile, exprimată ca procent. Răspunde la „cât de probabil e să fie exploatată?".
De ce ai nevoie de amândouă
Imaginează-ți două vulnerabilități, ambele cu CVSS 9.8. Una are un EPSS de 0,2% — improbabil să fie exploatată. Cealaltă are 85% — aproape sigur va fi ținta unui atac. Cu CVSS singur, arată identic. Cu EPSS, știi imediat de care să te ocupi întâi.
Efectul practic: reduci drastic „zgomotul". În loc de o listă de sute de critice tratate uniform, obții o coadă de lucru scurtă și acționabilă — vulnerabilitățile care sunt și grave, și probabil să fie exploatate.
Cum arată o prioritizare bună în practică
- ▸Nivel 1 — urgent: în CISA KEV (exploatat activ) SAU EPSS ridicat + CVSS mare. Remediere imediată, cu SLA scurt.
- ▸Nivel 2 — planificat: CVSS mare, dar EPSS scăzut. Intră în ciclul normal de patching, nu întrerupe totul.
- ▸Nivel 3 — monitorizat: severitate mică sau produs neafectat. Documentezi decizia și treci mai departe.
Legătura cu NIS2 și ISO 27001
Un proces de management al vulnerabilităților bazat pe risc — nu doar pe scoruri brute — este exact ce așteaptă un auditor NIS2 sau ISO 27001. „Am prioritizat pe baza probabilității de exploatare și a severității" este o afirmație mult mai solidă decât „am o listă de CVE-uri".
Prioritizează pe risc, nu doar pe scor
Awarely Monitor combină CVSS și EPSS pentru fiecare vulnerabilitate, urmărește SLA-uri pe severitate și exportă dovezi de audit pentru NIS2 / ISO 27001. 14 zile trial gratuit.
