Picus Security lance un nouveau système de notation des vulnérabilités, PXS

Picus Security a introduit une nouvelle méthodologie de priorisation des vulnérabilités, le Picus Exposure Score (PXS), visant à surmonter les lacunes des systèmes mondiaux existants. Cette initiative cherche à offrir aux organisations une compréhension plus précise des vulnérabilités qui représentent les menaces les plus significatives dans leurs environnements informatiques spécifiques.

L'entreprise souligne que les systèmes traditionnels tels que le CVSS (Common Vulnerability Scoring System) fournissent une mesure statique et globale de la gravité. Bien que l'EPSS (Exploit Prediction Scoring System) tente de prévoir la probabilité d'exploitation et que la liste KEV (Known Exploited Vulnerabilities) de la CISA confirme l'exploitation dans le monde réel, ces modèles négligent souvent l'environnement de défense unique d'une organisation, son architecture réseau et l'exposition de ses actifs.

Avec des dizaines de milliers de nouvelles vulnérabilités ajoutées chaque année, les équipes de sécurité peinent à identifier et à traiter les risques les plus critiques. Picus Security soutient que des scores CVSS élevés peuvent être trompeurs pour des vulnérabilités déjà atténuées par des contrôles de sécurité existants ou techniquement inexploitables dans un réseau donné. Cela peut entraîner une mauvaise allocation des ressources et un faux sentiment de sécurité.

Le modèle PXS vise à combler cette lacune en fournissant des preuves exploitables au sein du contexte spécifique d'une organisation. Il intègre les données des systèmes de notation existants avec des informations propres à l'environnement pour aider les responsables de la sécurité à prioriser efficacement les efforts de remédiation. En se concentrant sur l'exposition démontrée plutôt que sur le risque théorique, PXS entend aider les organisations à réduire le bruit et à gérer les vulnérabilités de manière plus efficace.