專題·漏洞治理 | 自適應(yīng)動態(tài)漏洞優(yōu)先級評估,科學(xué)應(yīng)對漏洞威脅
在當(dāng)今數(shù)字化的環(huán)境中,漏洞管理是網(wǎng)絡(luò)安全的一大挑戰(zhàn)。要有效地進行漏洞管理,必須綜合考慮漏洞的復(fù)雜性、多樣性、不斷演變的特點以及修復(fù)可能產(chǎn)生的影響等因素。
一、當(dāng)前漏洞評分系統(tǒng)的不足
在過往的經(jīng)驗中,大部分具有公開編號的漏洞都可以通過通用漏洞評分系統(tǒng)(CVSS)來計算危害評分。例如,當(dāng)前的 CVSS3.1 評分體系可以針對漏洞產(chǎn)生的后果從完整性、機密性和可用性方面進行評估。在最新的 CVSS4.0 中,引入了對漏洞持久性危害的評估。但總體而言,CVSS 評分是一種相對靜態(tài)的固定評分方式,許多企業(yè)產(chǎn)品僅通過 CVSS 評分來簡單地確定漏洞處置的優(yōu)先級,即理論上危害最大的漏洞應(yīng)該被最先處置。然而,在實際應(yīng)用中并非如此。CVSS 評分系統(tǒng)在實踐中暴露出了一系列不足,涉及技術(shù)層面、流程和人為因素。
首先,CVSS 評分系統(tǒng)存在著局限性。CVSS 評分主要基于漏洞的技術(shù)細節(jié)和特征來評估漏洞的危害程度,往往無法全面考慮漏洞可能在特定環(huán)境下引發(fā)的實際風(fēng)險。例如,某些看似普通的漏洞在特定的組織或系統(tǒng)中可能會導(dǎo)致災(zāi)難性后果,然而 CVSS 評分很難評價這種情況。
其次,固定的資產(chǎn)權(quán)重引入了一種靜態(tài)的評估機制,無法靈活地適應(yīng)不同環(huán)境和情境下的漏洞處置需求。這導(dǎo)致一些關(guān)鍵漏洞可能被低估或高估,從而影響了漏洞修復(fù)的優(yōu)先級和緊急性。
最后,傳統(tǒng)的漏洞處置方法往往依賴于人工經(jīng)驗和手工操作,缺乏自動化和智能化的支持。這導(dǎo)致漏洞管理的效率低下,尤其是在面對大規(guī)模漏洞爆發(fā)時,人工處置的成本和風(fēng)險都會大大增加。在實踐中,企業(yè)常常采用基于經(jīng)驗或推斷的簡單權(quán)重設(shè)置方式,例如將關(guān)鍵資產(chǎn)權(quán)重設(shè)置為1,普通資產(chǎn)設(shè)置為 0.5 等。然而,這種方法存在著嚴(yán)重的局限性,因為它無法有效地解決不同資產(chǎn)和漏洞之間的優(yōu)先級關(guān)系,導(dǎo)致漏洞處置工作難以精準(zhǔn)地對關(guān)鍵資產(chǎn)進行保護。另外,當(dāng)新漏洞被披露時,通常漏洞的信息是不完整的。例如,可能只有漏洞的基本描述和影響程度,而缺乏詳細的修復(fù)建議或影響評估。在信息不完整的情況下,很難準(zhǔn)確判斷漏洞的嚴(yán)重程度和緊急性,從而影響到漏洞處置的效率和準(zhǔn)確性。因此,傳統(tǒng)的漏洞處置方法在面對新披露的漏洞時往往會遇到困難,需要更加智能和靈活的方法來處理。
二、完善漏洞優(yōu)先級評估的思考
為了彌補傳統(tǒng)漏洞處置優(yōu)先級評估方法的不足,迫切需要引入先進技術(shù)的支持,并重視資產(chǎn)環(huán)境數(shù)據(jù)。
一是引入大型語言模型技術(shù)。在公開數(shù)據(jù)源中漏洞信息不完整的情況下,同時缺乏其他標(biāo)準(zhǔn)格式數(shù)據(jù)源來補充漏洞信息時,首先,我們可以利用大型語言模型從非標(biāo)準(zhǔn)數(shù)據(jù)源(論壇、公眾號、頁面、圖片等)中提取漏洞信息,并將其轉(zhuǎn)化為標(biāo)準(zhǔn)信息格式,作為信息的補充。大模型通過理解非標(biāo)準(zhǔn)數(shù)據(jù)源的上下文和語義,能夠生成可能的補充數(shù)據(jù),填補漏洞數(shù)據(jù)的空白,并提供更全面、更準(zhǔn)確的信息。其次,大模型能夠基于過去類似的漏洞數(shù)據(jù)進行更加合理的推理,如相同類型漏洞的 CVSS 評分和向量可能趨于一致。在漏洞公開披露初期,許多字段尚未被廠商或機構(gòu)評定數(shù)值,大模型可以有效地提供補充信息(提供更全面、更準(zhǔn)確的信息),幫助安全專業(yè)人員更有效地識別和理解漏洞的潛在威脅,為他們提供更好的決策支持。此外,在漏洞披露的初期和中期階段,安全專業(yè)人員關(guān)注如何修復(fù)和防御漏洞。然而,網(wǎng)絡(luò)上充斥著大量的錯誤信息或者混亂的引用鏈接,大模型可以分析這些鏈接的內(nèi)容,識別出潛在的漏洞修復(fù)方法,并提供高度可用的修復(fù)方案。這種方式不僅可以加快漏洞修復(fù)的速度,還可以提高修復(fù)的準(zhǔn)確性和效果。例如,當(dāng)漏洞修復(fù)相關(guān)的文檔或社區(qū)討論提供多種修復(fù)方案時,大型語言模型可以幫助安全團隊快速篩選出最適合其環(huán)境和需求的修復(fù)方案,從而降低修復(fù)的風(fēng)險和成本。
二是認(rèn)識到資產(chǎn)環(huán)境數(shù)據(jù)的重要性。資產(chǎn)環(huán)境數(shù)據(jù)在漏洞優(yōu)先級評估中扮演著至關(guān)重要的角色,因為它提供了關(guān)于組織資產(chǎn)的關(guān)鍵信息,包括業(yè)務(wù)價值、位置以及所面臨的威脅類型等因素。這些數(shù)據(jù)幫助安全團隊更全面地理解漏洞對組織安全的實際影響,從而更準(zhǔn)確地確定漏洞的優(yōu)先級,并采取相應(yīng)的處置措施。
資產(chǎn)的業(yè)務(wù)價值是評估漏洞優(yōu)先級的關(guān)鍵因素之一。不同的資產(chǎn)在組織中扮演著不同的角色,具有不同的重要性和敏感性。例如,核心業(yè)務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)存儲設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施往往具有較高的業(yè)務(wù)價值,一旦受到漏洞攻擊可能對組織造成嚴(yán)重的影響。但是,簡單地根據(jù)資產(chǎn)重要性是不足以進行充分評估,例如,資產(chǎn)的網(wǎng)絡(luò)位置也是評估漏洞優(yōu)先級的重要考量因素。不同位置的資產(chǎn)面臨的安全威脅可能有所不同。例如,位于內(nèi)部網(wǎng)絡(luò)的資產(chǎn)相對于暴露在公共網(wǎng)絡(luò)或云端的資產(chǎn),其面臨的外部攻擊風(fēng)險較低。同時,資產(chǎn)所面臨的威脅類型也應(yīng)納入考量,因為不同類型的漏洞可能導(dǎo)致不同類型的安全威脅。
三、通過 AVPT 實現(xiàn)動態(tài)漏洞優(yōu)先級評估方法
針對上述問題,我們提出了自適應(yīng)漏洞優(yōu)先級評估(AVPT)——一種基于大模型預(yù)測和資產(chǎn)環(huán)境數(shù)據(jù)的新型動態(tài)漏洞處置優(yōu)先級評估方法。該方法通過結(jié)合資產(chǎn)部署環(huán)境、資產(chǎn)重要性和漏洞本身的危害程度,重新調(diào)整漏洞的危害評分,實現(xiàn)漏洞優(yōu)先級的動態(tài)調(diào)整和個性化定制。
該方法利用大模型預(yù)測漏洞信息來補充漏洞的其他關(guān)鍵字段,實現(xiàn)漏洞數(shù)據(jù)自動化填充,并依托這類信息進行漏洞處置優(yōu)先級評估。這一方法不僅充分發(fā)揮了大模型的預(yù)測能力,還通過結(jié)合客戶資產(chǎn)部署環(huán)境、資產(chǎn)重要性等因素,實現(xiàn)了漏洞處置優(yōu)先級的個性化定制。
在資產(chǎn)重要性方面,該方法將其分為三級,并基于過往數(shù)據(jù)采用統(tǒng)計學(xué)和函數(shù)擬合的方式來獲取三級權(quán)重系數(shù)。這種做法既考慮了資產(chǎn)的重要性,又充分利用了過往數(shù)據(jù)的價值,為不同資產(chǎn)設(shè)置優(yōu)先級權(quán)重,從而個性化調(diào)整漏洞評分,使得漏洞處理更加靈活和針對性。同時也充分考慮了資產(chǎn)的網(wǎng)絡(luò)位置、威脅情報數(shù)據(jù)以及漏洞被利用情況等因素。通過不斷采集網(wǎng)絡(luò)公開數(shù)據(jù)并結(jié)合大模型的預(yù)測能力,實現(xiàn)動態(tài)漏洞評分,使得漏洞處置優(yōu)先級更加準(zhǔn)確和靈活,幫助安全團隊更好地識別和應(yīng)對漏洞威脅。
新型漏洞處置優(yōu)先級評估方法為企業(yè)更有效地管理漏洞風(fēng)險和減少安全風(fēng)險提供了重要支持。有效縮短了漏洞預(yù)警時間,使得企業(yè)能夠更快速地做出響應(yīng),制定漏洞修復(fù)計劃,并及時采取行動,從而提高了整體安全響應(yīng)能力。
另外,針對資產(chǎn)數(shù)量較為龐大的客戶,這套技術(shù)方案也表現(xiàn)出了顯著的優(yōu)勢。通過新型漏洞處置優(yōu)先級評估方法,企業(yè)能夠快速收斂資產(chǎn)安全隱患,提高了整體安全性和穩(wěn)定性。這一方法不僅節(jié)省了企業(yè)大量的時間和資源,還提高了漏洞管理的效率和精度,為企業(yè)的安全運營提供了可靠保障。
(本文刊登于《中國信息安全》雜志2024年第5期)