安全的本質(zhì)是動(dòng)態(tài)對(duì)抗，將其映射到漏洞管理領(lǐng)域就是漏洞不斷產(chǎn)生和不斷快速響應(yīng)的過(guò)程。在有限資源下，實(shí)現(xiàn)投入的回報(bào)收益最大化是漏洞管理的核心目標(biāo)。為了達(dá)成該目標(biāo)，并將合規(guī)驅(qū)動(dòng)轉(zhuǎn)化為攻防實(shí)戰(zhàn)驅(qū)動(dòng)安全管理工作，我們引進(jìn)VPT技術(shù)應(yīng)用于日常漏洞管理工作體系建設(shè)。本文將就該技術(shù)實(shí)踐中的思考和過(guò)程與大家分享。

VPT技術(shù)起源

VPT全稱(chēng)為Vulnerability prioritization technology，意為弱點(diǎn)優(yōu)先級(jí)技術(shù)，被廣泛用于漏洞評(píng)估領(lǐng)域。它是全球知名咨詢(xún)公司Gartner在2019年的《A Guide to Choosing a Vulnerability Assessment Solution》(Gartner，2019.04)一文中首次提出的。Gartner示意：“到2022年，使用基于風(fēng)險(xiǎn)的漏洞管理方法的組織，會(huì)減少80%的被攻擊的可能”，認(rèn)為針對(duì)漏洞的管理應(yīng)該以縮小實(shí)際被攻擊可能性為根本目的。

在Gartner的標(biāo)準(zhǔn)定義中，對(duì)VPT提了以下技術(shù)點(diǎn)：

• VA telemetry，即漏洞評(píng)估測(cè)試，主要是指基礎(chǔ)的漏洞數(shù)據(jù)提供和目標(biāo)檢測(cè)方式，對(duì)目標(biāo)系統(tǒng)進(jìn)行漏洞檢測(cè)和安全性危害評(píng)價(jià);

•Asset criticality context即資產(chǎn)重要性關(guān)系，主要是指針對(duì)弱點(diǎn)所在的資產(chǎn)，站在非安全視角評(píng)估資產(chǎn)重要性以納入弱點(diǎn)影響評(píng)價(jià)，廣義資產(chǎn)包含服務(wù)器、網(wǎng)站業(yè)務(wù)、接口、IoT設(shè)備等;

• Environment context即環(huán)境關(guān)系，基于網(wǎng)絡(luò)配置情況、安全防御情況等評(píng)價(jià)弱點(diǎn)的影響面和損失價(jià)值;

• Multiple threat intelligence即海量威脅情報(bào)，這里的情報(bào)不是威脅情報(bào)，主要是弱點(diǎn)的情報(bào)信息，包括漏洞嚴(yán)重性評(píng)分 (CVSS)、修復(fù)的難易程度、漏洞的發(fā)布日期、易受攻擊的軟件項(xiàng)目的流行程度以及發(fā)現(xiàn)漏洞的應(yīng)用程序類(lèi)型等。

VPT技術(shù)的本土化思考

VPT技術(shù)的主要目的是在有限的時(shí)間內(nèi)，盡可能多的降低被攻擊的風(fēng)險(xiǎn)，就像在降低SoC/SIEM的無(wú)效告警一樣，我們需要從威脅、影響、可修復(fù)性三個(gè)方面對(duì)漏洞處理優(yōu)先級(jí)排序，比漏洞檢測(cè)更進(jìn)一步的實(shí)現(xiàn)了基于風(fēng)險(xiǎn)的弱點(diǎn)管理。但從VPT技術(shù)落地的角度而言，我們需要更多的考慮如何將它本土化。

VPT技術(shù)關(guān)注重點(diǎn)不是漏洞，而是攻擊面。它是一種動(dòng)態(tài)對(duì)抗思想，從防守角度在一定時(shí)間范圍內(nèi)，最大限度的縮小已有攻擊面可能帶來(lái)的損失。在本土化背景下，該思想的落地場(chǎng)景主要在于攻防演練和關(guān)基保護(hù)等需要真實(shí)防范攻擊的安全場(chǎng)景，其中VPT的價(jià)值不僅是降低工時(shí)和提升效率，更要兼顧考慮指導(dǎo)安全響應(yīng)和避免安全責(zé)任這兩項(xiàng)附加價(jià)值。VPT應(yīng)用在國(guó)內(nèi)不得不考慮以下幾點(diǎn)：

•VPT需要站在業(yè)務(wù)角度進(jìn)行評(píng)價(jià)

在評(píng)價(jià)漏洞時(shí)加入對(duì)業(yè)務(wù)影響性，并將評(píng)價(jià)的關(guān)鍵因素呈現(xiàn)出來(lái)，會(huì)使得業(yè)務(wù)部門(mén)對(duì)安全部門(mén)提出的處置優(yōu)先級(jí)更易理解。該評(píng)價(jià)不是簡(jiǎn)單的根據(jù)漏洞所在資產(chǎn)進(jìn)行，而是需要更具象到漏洞可能造成的損失。

•VPT需要考慮到國(guó)內(nèi)老舊信息資產(chǎn)響應(yīng)實(shí)操性的問(wèn)題

我國(guó)IT數(shù)字化建設(shè)發(fā)展極為迅速，但由于一些歷史原因積累了較多老舊的信息資產(chǎn)，這些資產(chǎn)的漏洞修補(bǔ)會(huì)比較困難。如果不考慮漏洞的可修復(fù)性，反而會(huì)給業(yè)務(wù)部門(mén)增加很多負(fù)擔(dān)，所以VPT需要建立對(duì)可修復(fù)性的建議和標(biāo)記。

•VPT需要符合中國(guó)的網(wǎng)絡(luò)安全相關(guān)規(guī)定

應(yīng)用VPT技術(shù)對(duì)弱點(diǎn)進(jìn)行評(píng)價(jià)時(shí)需要考慮我國(guó)的相關(guān)規(guī)定，如《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)指南》、《GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng) 估規(guī)范》。在《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)指南》中詳細(xì)定義了漏洞指標(biāo)類(lèi)分級(jí)、漏洞技術(shù)分級(jí)、漏洞綜合分級(jí)的方法對(duì)漏洞進(jìn)行評(píng)價(jià)，包括不限于被利用性指標(biāo)、影響程度指標(biāo)等。

VPT技術(shù)的本土化實(shí)踐

VPT技術(shù)雖然一經(jīng)推出即受到行業(yè)領(lǐng)先企業(yè)的追捧，但在國(guó)內(nèi)的落地與實(shí)踐并未展開(kāi)。直到2020年，由華云安參與制定的《信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞分類(lèi)分級(jí)指南》(GB/T 30279-2020)正式發(fā)布，結(jié)合了《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984-2007)的風(fēng)險(xiǎn)評(píng)估理念，為我國(guó)基于風(fēng)險(xiǎn)進(jìn)行漏洞的評(píng)級(jí)和管理提供了本土化依據(jù)和方法。

華云安在VPT技術(shù)實(shí)踐中，運(yùn)用多種技術(shù)手段提高評(píng)價(jià)數(shù)據(jù)維度與精度，提高實(shí)戰(zhàn)攻防場(chǎng)景下VPT技術(shù)的應(yīng)用效果。

•構(gòu)建評(píng)價(jià)因子的數(shù)據(jù)模型

弱點(diǎn)優(yōu)先級(jí)評(píng)價(jià)技術(shù)就是安全弱點(diǎn)發(fā)展成安全事件的可能性。在此基礎(chǔ)上，華云安構(gòu)建了漏洞利用性評(píng)價(jià)、漏洞影響面評(píng)價(jià)、漏洞事件可能性評(píng)價(jià)等場(chǎng)景算法。

漏洞利用性評(píng)價(jià)基于漏洞確信度、訪(fǎng)問(wèn)路徑、環(huán)境要求、應(yīng)用權(quán)限和交互函數(shù)等元數(shù)據(jù)構(gòu)造響應(yīng)的數(shù)據(jù)模型。

漏洞影響面評(píng)價(jià)主要包括資產(chǎn)重要性(ACR)評(píng)價(jià)及漏洞的危害性評(píng)價(jià)。從資產(chǎn)角度收集包括資產(chǎn)的流量間訪(fǎng)問(wèn)關(guān)系、業(yè)務(wù)敏感請(qǐng)求，支持關(guān)聯(lián)設(shè)備類(lèi)型、網(wǎng)絡(luò)區(qū)域等多類(lèi)數(shù)據(jù)對(duì)資產(chǎn)的重要性進(jìn)行評(píng)價(jià)，ACR數(shù)值越高，則資產(chǎn)價(jià)值量越大;漏洞危害性評(píng)價(jià)則更多依賴(lài)漏洞自身危害性關(guān)系、漏洞與攻擊事件關(guān)聯(lián)數(shù)量、攻擊事件影響等

漏洞事件可能性評(píng)價(jià)目前包括網(wǎng)絡(luò)曝光度評(píng)價(jià)、事件關(guān)聯(lián)統(tǒng)計(jì)等

•建設(shè)全量漏洞情報(bào)庫(kù)

除此之外，華云安面向公網(wǎng)捕獲威脅與漏洞情報(bào)，通過(guò)關(guān)鍵詞和知識(shí)組構(gòu)造底層知識(shí)圖譜，依賴(lài)圖譜梳理漏洞cvss、首次發(fā)布時(shí)間、公開(kāi)利用事件、公布PoC、Exp等多個(gè)底層數(shù)據(jù)間的關(guān)聯(lián)關(guān)系，用于模型計(jì)算。

傳統(tǒng)的漏洞優(yōu)先級(jí)大多采用CVSS評(píng)分進(jìn)行評(píng)估，而這樣“重漏洞輕資產(chǎn)”的評(píng)估方式則導(dǎo)致結(jié)果過(guò)于片面。任何漏洞只有依存在實(shí)體或非實(shí)體的資產(chǎn)上才有價(jià)值。因此華云安首創(chuàng)了基于風(fēng)險(xiǎn)的優(yōu)先級(jí)評(píng)估方法，方法分為資產(chǎn)維度和威脅維度：資產(chǎn)維度包含了“設(shè)備類(lèi)型、設(shè)備能力、設(shè)備作用三個(gè)子項(xiàng)的評(píng)分;而威脅維度則會(huì)按照網(wǎng)絡(luò)曝光度、資產(chǎn)暴露度、資產(chǎn)漏洞等級(jí)進(jìn)行評(píng)分，所有的評(píng)分將采用深度學(xué)習(xí)模式進(jìn)行動(dòng)態(tài)調(diào)整，深度學(xué)習(xí)的融合為算法提供了無(wú)限的演進(jìn)性，隨著時(shí)間的推移使每個(gè)企業(yè)都能夠擁有適合自身的優(yōu)先級(jí)評(píng)估方式，使計(jì)算結(jié)果更加落地。

風(fēng)險(xiǎn)評(píng)估指標(biāo)

華云安基于大數(shù)據(jù)和知識(shí)圖譜架構(gòu)自主構(gòu)建了一套面向企業(yè)客戶(hù)的威脅與漏洞管理系統(tǒng)——靈洞。靈洞根據(jù)優(yōu)先級(jí)算法對(duì)漏洞進(jìn)行分類(lèi)分級(jí)，同時(shí)結(jié)合客戶(hù)的核心業(yè)務(wù)，為客戶(hù)指出漏洞影響業(yè)務(wù)的范圍和其產(chǎn)生的危害后果，告知其相應(yīng)解決方案，滿(mǎn)足了海量數(shù)據(jù)的快速關(guān)聯(lián)和分析檢索的使用需求，幫助客戶(hù)關(guān)注“真正的風(fēng)險(xiǎn)”， 為漏洞精準(zhǔn)識(shí)別和安全風(fēng)險(xiǎn)發(fā)現(xiàn)提供助力。

靈洞威脅與漏洞管理系統(tǒng)

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。