Picus Security: Uusi pisteytysjärjestelmä yhdistää haavoittuvuustiedot

Kyberturvallisuusyritys Picus Security on julkaissut uuden menetelmän haavoittuvuuksien priorisointiin, nimeltään Picus Exposure Score (PXS). Tämä uusi malli pyrkii vastaamaan perinteisten haavoittuvuuksien pisteytysjärjestelmien, kuten CVSS, EPSS ja KEV, rajoituksiin tuomalla todellista kontekstia ja todisteita haavoittuvuuksien hyödynnettävyydestä yritysympäristöissä.

Perinteiset järjestelmät, kuten CVSS (Common Vulnerability Scoring System), arvioivat haavoittuvuuden teoreettista vakavuutta globaalisti. EPSS (Exploit Prediction Scoring System) pyrkii ennustamaan tulevaa hyödyntämisen todennäköisyyttä, ja CISA:n KEV (Known Exploited Vulnerabilities) -lista vahvistaa, onko haavoittuvuutta jo hyödynnetty todellisessa maailmassa. Näillä malleilla on kuitenkin yhteinen puute: ne eivät ota huomioon yksittäisen yrityksen omaa IT-ympäristöä, suojausmekanismeja tai assetien todellista alttiutta.

Picus Securityn mukaan yritykset kohtaavat vuosittain kymmeniätuhansia uusia haavoittuvuuksia, ja ilman ymmärrystä siitä, mitkä niistä ovat todellisia uhkia juuri heidän ympäristössään, turvallisuustiimit hukkuvat tietotulvaan. CVSS-pisteet voivat antaa korkean arvon haavoittuvuudelle, joka on asianmukaisesti suojattu tai jota ei voida hyödyntää organisaation sisällä.

PXS-mallin tavoitteena on täyttää tämä aukko tarjoamalla käytännön todisteita siitä, miten haavoittuvuus ilmenee spesifissä ympäristössä. Se yhdistää olemassa olevien pisteytysten antaman yleiskuvan ja tarkentaa sitä omilla tiedoillaan, jotta turvallisuusjohtajat voivat tehdä parempia päätöksiä siitä, mihin resurssit kannattaa kohdentaa. Malli auttaa erottamaan konkreettiset uhat kohinasta, mahdollistaen tehokkaamman haavoittuvuuksien hallinnan.