Picus Security stellt neues Schwachstellen-Bewertungssystem PXS vor

Picus Security hat eine neue Methodik zur Priorisierung von Schwachstellen vorgestellt, den Picus Exposure Score (PXS). Dieses neue System zielt darauf ab, die Einschränkungen bestehender globaler Schwachstellenbewertungssysteme wie CVSS, EPSS und KEV zu überwinden, indem es tatsächlichen Kontext und Nachweise für die Ausnutzbarkeit von Schwachstellen in Unternehmensumgebungen liefert.

Das Unternehmen hebt hervor, dass herkömmliche Systeme wie CVSS (Common Vulnerability Scoring System) eine statische, globale Einschätzung der Schweregrad einer Schwachstelle bieten. Während EPSS (Exploit Prediction Scoring System) versucht, die Wahrscheinlichkeit einer zukünftigen Ausnutzung vorherzusagen, und die KEV-Liste (Known Exploited Vulnerabilities) von CISA die reale Ausnutzung bestätigt, vernachlässigen diese Modelle oft die spezifische IT-Umgebung eines Unternehmens, seine Schutzmechanismen oder die tatsächliche Angriffsfläche.

Angesichts Zehntausender neuer Schwachstellen, die jährlich zu Datenbanken hinzugefügt werden, stehen Sicherheitsteams vor der Herausforderung, die kritischsten Risiken zu identifizieren und zu adressieren. Picus Security argumentiert, dass hohe CVSS-Scores irreführend für Schwachstellen sein können, die bereits durch bestehende Sicherheitskontrollen gemildert wurden oder technisch nicht ausnutzbar sind. Dies kann zu einer Fehlallokation von Ressourcen führen.

Das PXS-Modell soll diese Lücke schließen, indem es umsetzbare Beweise für die Ausnutzbarkeit im spezifischen Kontext eines Unternehmens liefert. Es integriert Daten aus bestehenden Bewertungssystemen mit umgebungsspezifischen Erkenntnissen, um Sicherheitsexperten bei der effektiven Priorisierung von Abhilfemaßnahmen zu unterstützen. Durch die Konzentration auf nachweisbare Exposition statt auf theoretische Risiken soll PXS Unternehmen helfen, Rauschen zu reduzieren und Schwachstellen effizienter zu verwalten.