專(zhuān)題·漏洞治理 | 自適應動(dòng)態(tài)漏洞優(yōu)先級評估,科學(xué)應對漏洞威脅
在當今數字化的環(huán)境中,漏洞管理是網(wǎng)絡(luò )安全的一大挑戰。要有效地進(jìn)行漏洞管理,必須綜合考慮漏洞的復雜性、多樣性、不斷演變的特點(diǎn)以及修復可能產(chǎn)生的影響等因素。
一、當前漏洞評分系統的不足
在過(guò)往的經(jīng)驗中,大部分具有公開(kāi)編號的漏洞都可以通過(guò)通用漏洞評分系統(CVSS)來(lái)計算危害評分。例如,當前的 CVSS3.1 評分體系可以針對漏洞產(chǎn)生的后果從完整性、機密性和可用性方面進(jìn)行評估。在最新的 CVSS4.0 中,引入了對漏洞持久性危害的評估。但總體而言,CVSS 評分是一種相對靜態(tài)的固定評分方式,許多企業(yè)產(chǎn)品僅通過(guò) CVSS 評分來(lái)簡(jiǎn)單地確定漏洞處置的優(yōu)先級,即理論上危害最大的漏洞應該被最先處置。然而,在實(shí)際應用中并非如此。CVSS 評分系統在實(shí)踐中暴露出了一系列不足,涉及技術(shù)層面、流程和人為因素。
首先,CVSS 評分系統存在著(zhù)局限性。CVSS 評分主要基于漏洞的技術(shù)細節和特征來(lái)評估漏洞的危害程度,往往無(wú)法全面考慮漏洞可能在特定環(huán)境下引發(fā)的實(shí)際風(fēng)險。例如,某些看似普通的漏洞在特定的組織或系統中可能會(huì )導致災難性后果,然而 CVSS 評分很難評價(jià)這種情況。
其次,固定的資產(chǎn)權重引入了一種靜態(tài)的評估機制,無(wú)法靈活地適應不同環(huán)境和情境下的漏洞處置需求。這導致一些關(guān)鍵漏洞可能被低估或高估,從而影響了漏洞修復的優(yōu)先級和緊急性。
最后,傳統的漏洞處置方法往往依賴(lài)于人工經(jīng)驗和手工操作,缺乏自動(dòng)化和智能化的支持。這導致漏洞管理的效率低下,尤其是在面對大規模漏洞爆發(fā)時(shí),人工處置的成本和風(fēng)險都會(huì )大大增加。在實(shí)踐中,企業(yè)常常采用基于經(jīng)驗或推斷的簡(jiǎn)單權重設置方式,例如將關(guān)鍵資產(chǎn)權重設置為1,普通資產(chǎn)設置為 0.5 等。然而,這種方法存在著(zhù)嚴重的局限性,因為它無(wú)法有效地解決不同資產(chǎn)和漏洞之間的優(yōu)先級關(guān)系,導致漏洞處置工作難以精準地對關(guān)鍵資產(chǎn)進(jìn)行保護。另外,當新漏洞被披露時(shí),通常漏洞的信息是不完整的。例如,可能只有漏洞的基本描述和影響程度,而缺乏詳細的修復建議或影響評估。在信息不完整的情況下,很難準確判斷漏洞的嚴重程度和緊急性,從而影響到漏洞處置的效率和準確性。因此,傳統的漏洞處置方法在面對新披露的漏洞時(shí)往往會(huì )遇到困難,需要更加智能和靈活的方法來(lái)處理。
二、完善漏洞優(yōu)先級評估的思考
為了彌補傳統漏洞處置優(yōu)先級評估方法的不足,迫切需要引入先進(jìn)技術(shù)的支持,并重視資產(chǎn)環(huán)境數據。
一是引入大型語(yǔ)言模型技術(shù)。在公開(kāi)數據源中漏洞信息不完整的情況下,同時(shí)缺乏其他標準格式數據源來(lái)補充漏洞信息時(shí),首先,我們可以利用大型語(yǔ)言模型從非標準數據源(論壇、公眾號、頁(yè)面、圖片等)中提取漏洞信息,并將其轉化為標準信息格式,作為信息的補充。大模型通過(guò)理解非標準數據源的上下文和語(yǔ)義,能夠生成可能的補充數據,填補漏洞數據的空白,并提供更全面、更準確的信息。其次,大模型能夠基于過(guò)去類(lèi)似的漏洞數據進(jìn)行更加合理的推理,如相同類(lèi)型漏洞的 CVSS 評分和向量可能趨于一致。在漏洞公開(kāi)披露初期,許多字段尚未被廠(chǎng)商或機構評定數值,大模型可以有效地提供補充信息(提供更全面、更準確的信息),幫助安全專(zhuān)業(yè)人員更有效地識別和理解漏洞的潛在威脅,為他們提供更好的決策支持。此外,在漏洞披露的初期和中期階段,安全專(zhuān)業(yè)人員關(guān)注如何修復和防御漏洞。然而,網(wǎng)絡(luò )上充斥著(zhù)大量的錯誤信息或者混亂的引用鏈接,大模型可以分析這些鏈接的內容,識別出潛在的漏洞修復方法,并提供高度可用的修復方案。這種方式不僅可以加快漏洞修復的速度,還可以提高修復的準確性和效果。例如,當漏洞修復相關(guān)的文檔或社區討論提供多種修復方案時(shí),大型語(yǔ)言模型可以幫助安全團隊快速篩選出最適合其環(huán)境和需求的修復方案,從而降低修復的風(fēng)險和成本。
二是認識到資產(chǎn)環(huán)境數據的重要性。資產(chǎn)環(huán)境數據在漏洞優(yōu)先級評估中扮演著(zhù)至關(guān)重要的角色,因為它提供了關(guān)于組織資產(chǎn)的關(guān)鍵信息,包括業(yè)務(wù)價(jià)值、位置以及所面臨的威脅類(lèi)型等因素。這些數據幫助安全團隊更全面地理解漏洞對組織安全的實(shí)際影響,從而更準確地確定漏洞的優(yōu)先級,并采取相應的處置措施。
資產(chǎn)的業(yè)務(wù)價(jià)值是評估漏洞優(yōu)先級的關(guān)鍵因素之一。不同的資產(chǎn)在組織中扮演著(zhù)不同的角色,具有不同的重要性和敏感性。例如,核心業(yè)務(wù)系統、關(guān)鍵數據存儲設備和關(guān)鍵基礎設施往往具有較高的業(yè)務(wù)價(jià)值,一旦受到漏洞攻擊可能對組織造成嚴重的影響。但是,簡(jiǎn)單地根據資產(chǎn)重要性是不足以進(jìn)行充分評估,例如,資產(chǎn)的網(wǎng)絡(luò )位置也是評估漏洞優(yōu)先級的重要考量因素。不同位置的資產(chǎn)面臨的安全威脅可能有所不同。例如,位于內部網(wǎng)絡(luò )的資產(chǎn)相對于暴露在公共網(wǎng)絡(luò )或云端的資產(chǎn),其面臨的外部攻擊風(fēng)險較低。同時(shí),資產(chǎn)所面臨的威脅類(lèi)型也應納入考量,因為不同類(lèi)型的漏洞可能導致不同類(lèi)型的安全威脅。
三、通過(guò) AVPT 實(shí)現動(dòng)態(tài)漏洞優(yōu)先級評估方法
針對上述問(wèn)題,我們提出了自適應漏洞優(yōu)先級評估(AVPT)——一種基于大模型預測和資產(chǎn)環(huán)境數據的新型動(dòng)態(tài)漏洞處置優(yōu)先級評估方法。該方法通過(guò)結合資產(chǎn)部署環(huán)境、資產(chǎn)重要性和漏洞本身的危害程度,重新調整漏洞的危害評分,實(shí)現漏洞優(yōu)先級的動(dòng)態(tài)調整和個(gè)性化定制。
該方法利用大模型預測漏洞信息來(lái)補充漏洞的其他關(guān)鍵字段,實(shí)現漏洞數據自動(dòng)化填充,并依托這類(lèi)信息進(jìn)行漏洞處置優(yōu)先級評估。這一方法不僅充分發(fā)揮了大模型的預測能力,還通過(guò)結合客戶(hù)資產(chǎn)部署環(huán)境、資產(chǎn)重要性等因素,實(shí)現了漏洞處置優(yōu)先級的個(gè)性化定制。
在資產(chǎn)重要性方面,該方法將其分為三級,并基于過(guò)往數據采用統計學(xué)和函數擬合的方式來(lái)獲取三級權重系數。這種做法既考慮了資產(chǎn)的重要性,又充分利用了過(guò)往數據的價(jià)值,為不同資產(chǎn)設置優(yōu)先級權重,從而個(gè)性化調整漏洞評分,使得漏洞處理更加靈活和針對性。同時(shí)也充分考慮了資產(chǎn)的網(wǎng)絡(luò )位置、威脅情報數據以及漏洞被利用情況等因素。通過(guò)不斷采集網(wǎng)絡(luò )公開(kāi)數據并結合大模型的預測能力,實(shí)現動(dòng)態(tài)漏洞評分,使得漏洞處置優(yōu)先級更加準確和靈活,幫助安全團隊更好地識別和應對漏洞威脅。
新型漏洞處置優(yōu)先級評估方法為企業(yè)更有效地管理漏洞風(fēng)險和減少安全風(fēng)險提供了重要支持。有效縮短了漏洞預警時(shí)間,使得企業(yè)能夠更快速地做出響應,制定漏洞修復計劃,并及時(shí)采取行動(dòng),從而提高了整體安全響應能力。
另外,針對資產(chǎn)數量較為龐大的客戶(hù),這套技術(shù)方案也表現出了顯著(zhù)的優(yōu)勢。通過(guò)新型漏洞處置優(yōu)先級評估方法,企業(yè)能夠快速收斂資產(chǎn)安全隱患,提高了整體安全性和穩定性。這一方法不僅節省了企業(yè)大量的時(shí)間和資源,還提高了漏洞管理的效率和精度,為企業(yè)的安全運營(yíng)提供了可靠保障。
(本文刊登于《中國信息安全》雜志2024年第5期)