Anthropic’s Mythos versnelt de ontdekking van kwetsbaarheden in software in een tempo dat voorheen ongekend was. Dit vergroot het probleem voor kwetsbaarheidsbeheer, waar al sprake was van een overvloed aan kwetsbaarheden zonder duidelijkheid over welke het meest urgent zijn. De snelheid waarmee softwarefouten worden gevonden en mogelijk misbruikt, stelt beveiligingsteams voor de uitdaging om te bepalen welke kwetsbaarheden onmiddellijke actie vereisen.

Als oplossing raadt Anthropic het gebruik van het Exploit Prediction Scoring System (EPSS) aan, een probabilistisch model ontwikkeld door datawetenschappers van Empirical Security en gepubliceerd via FIRST. EPSS helpt bij het prioriteren van kwetsbaarheden door een inschatting te geven van de kans dat een kwetsbaarheid binnen 30 dagen wordt geëxploiteerd. Volgens Anthropic is het effectief om eerst de KEV-lijst van CISA te patchen en vervolgens alle kwetsbaarheden boven een bepaalde EPSS-drempel te behandelen, zodat duizenden openstaande CVE’s beheersbaar worden.

Michael Roytman, medeoprichter en CTO van Empirical Security, vergelijkt EPSS met weersvoorspellingen: net zoals je niet altijd een paraplu meeneemt, maar op basis van voorspellingen beslist, helpt EPSS te bepalen welke kwetsbaarheden daadwerkelijk een risico vormen. Ed Bellis, CEO van Empirical Security, benadrukt dat de aanbeveling van Anthropic opvallend is vanwege de afzender, een grote aanbieder van taalmodellen, die hiermee voor het eerst expliciet een probabilistisch model voor kwetsbaarheidsprioritering ondersteunt.

De kwetsbaarheidsecosysteem staat al onder druk door het grote aantal nieuwe kwetsbaarheden. Zo heeft NIST recent besloten de verrijking van zijn National Vulnerability Database (NVD) te beperken tot een selectie van CVE’s, omdat dit proces handmatig wordt uitgevoerd. EPSS daarentegen is volledig geautomatiseerd en kan dagelijks scores publiceren voor alle CVE’s. Volgens Bellis wordt het gebruik van machine learning en data-gedreven modellen in kwetsbaarheidsbeheer nog onvoldoende toegepast, terwijl dit wel noodzakelijk is gezien de toenemende snelheid van exploitatie.

Volgens Zero Day Clock daalt de gemiddelde tijd tussen ontdekking en exploitatie van een kwetsbaarheid dit jaar naar één uur, en wordt dit in 2028 zelfs één minuut, tegenover 2,3 jaar in 2018. Diverse beveiligingsleveranciers, waaronder CrowdStrike, Cisco, Palo Alto Networks, Qualys en Tenable, hebben EPSS inmiddels geïntegreerd in hun producten. James Robinson, CISO bij Netskope, noemt de brede adoptie van EPSS een positieve ontwikkeling, omdat het helpt te bepalen of een kwetsbaarheid relevant is voor de eigen omgeving.