Awarely
AwarelyMonitor
Toate articolele
Prioritizare7 min

EPSS vs CVSS: cum prioritizezi corect vulnerabilitățile în 2026

Orice echipă de securitate ajunge, mai devreme sau mai târziu, la aceeași problemă: sunt prea multe vulnerabilități „critice" și prea puțin timp. Dacă totul e prioritate, nimic nu e.

CVSS singur nu rezolvă asta, pentru că măsoară o singură dimensiune: cât de gravă ar fi o exploatare. EPSS adaugă a doua dimensiune, cea care schimbă totul în practică: cât de probabil este să se întâmple.

Ce măsoară fiecare

  • CVSS (Common Vulnerability Scoring System): severitatea tehnică, pe o scală de la 0 la 10. Răspunde la „cât de rău ar fi dacă e exploatată?".
  • EPSS (Exploit Prediction Scoring System): probabilitatea ca vulnerabilitatea să fie exploatată în următoarele 30 de zile, exprimată ca procent. Răspunde la „cât de probabil e să fie exploatată?".

De ce ai nevoie de amândouă

Imaginează-ți două vulnerabilități, ambele cu CVSS 9.8. Una are un EPSS de 0,2% — improbabil să fie exploatată. Cealaltă are 85% — aproape sigur va fi ținta unui atac. Cu CVSS singur, arată identic. Cu EPSS, știi imediat de care să te ocupi întâi.

Efectul practic: reduci drastic „zgomotul". În loc de o listă de sute de critice tratate uniform, obții o coadă de lucru scurtă și acționabilă — vulnerabilitățile care sunt și grave, și probabil să fie exploatate.

Cum arată o prioritizare bună în practică

  • Nivel 1 — urgent: în CISA KEV (exploatat activ) SAU EPSS ridicat + CVSS mare. Remediere imediată, cu SLA scurt.
  • Nivel 2 — planificat: CVSS mare, dar EPSS scăzut. Intră în ciclul normal de patching, nu întrerupe totul.
  • Nivel 3 — monitorizat: severitate mică sau produs neafectat. Documentezi decizia și treci mai departe.

Legătura cu NIS2 și ISO 27001

Un proces de management al vulnerabilităților bazat pe risc — nu doar pe scoruri brute — este exact ce așteaptă un auditor NIS2 sau ISO 27001. „Am prioritizat pe baza probabilității de exploatare și a severității" este o afirmație mult mai solidă decât „am o listă de CVE-uri".

Prioritizează pe risc, nu doar pe scor

Awarely Monitor combină CVSS și EPSS pentru fiecare vulnerabilitate, urmărește SLA-uri pe severitate și exportă dovezi de audit pentru NIS2 / ISO 27001. 14 zile trial gratuit.