1.背景介紹

在2020年9月的“Gartner安全風險與管理峰會”上釋出的《2020-2021 Top Security Projects》中，首次正式提出“Risk-Based Vulnerability Management”（基於風險的弱點管理）專案，作為TOP 10的第二項（在2018和2019年叫“符合CARTA方法論的弱點管理專案”，於2020年進行了重新定義）。

其專案關鍵點描述是：要意識到永不可能100%打補丁；和IT運維聯合行動（創造雙贏）；利用現有的掃描資料和流程；用VPT（“Vulnerability prioritization technology”漏洞優先順序技術）工具來增強弱點評估以更好的確定優先順序。

為了讓描述更準確，對“Vulnerability”進一步做解釋。在資訊保安領域，它包含的意義有：漏洞、弱點、脆弱性三個。

n 漏洞：在硬體、軟體、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統；

n 弱點：按照Tenable的描述，它包含漏洞，以及除漏洞以外的配置不當、弱口令、資訊洩露等等；

n 脆弱性：按照GB/T 20984的描述，它包含技術脆弱性和管理脆弱性，也就是包含了上述提到的弱點以及ISMS中包含的管理安全項。

這裡提出以上三點的原因是，在我們研究了大量資料後發現，雖然在Gartner和一些其他的方案中，都會提到“VPT”，但是它有時候代表的是“漏洞優先順序技術”，而有時候代表的是“弱點優先順序技術”（幸好它們幾乎考慮的都是技術安全，而沒有討論“綜合脆弱性”的問題，讓這個話題稍微簡單了一些）。

在本文撰寫時，由於國內對該概念以及實現尚處於萌芽階段，所以本文所討論的內容，將限定在“漏洞優先順序”。而更廣義的“弱點優先順序”會在之後的文章中另做討論。

2.VPT的行業認知

Gartner在2020年9月釋出了“基於風險的弱點管理”專案之後，又分別於2021年6月25日釋出了“Market Guide for Vulnerability Assessment”（漏洞評估市場指南），以及在2021年7月23日釋出了“Hype Cycle for Security Operations, 2021”（2021安全運營技術成熟度模型）。

在《漏洞評估市場指南》中，提出了明確的建議：“利用漏洞優先順序技術 （VPT）解決方案實施基於風險的漏洞管理方法，將漏洞結果帶到統一平臺以進行優先順序排序和處理（例如修補），提高安全運營效率”。並且對於VPT的技術要求進行了定義，我們在下述技術章節中將進行描述。

在《安全運營技術成熟度模型》中我們可以看出，VPT技術是一個新興的，並且正處於“最具期待性”的巔峰技術，其距離被市場普遍認可以及產品成熟期，還需要大約2-5年的時間。

根據調研，該技術的收益評級為：高；市場滲透率為：20%-50%。

很多官方給出的定義和方法論為了嚴謹性，都寫的過於冗餘和複雜。我們用最接地氣的說法就是：

在安全運營工作中，想修復所有的漏洞幾乎不可能，VPT是採用某些方法和流程，動態的將需要修復的漏洞進行優先順序排序和流程優化，提高修復效率，以達到用最少的時間實現最好的效果。

3.VPT發展的必然性

WhiteHat Security在其《應用安全狀態縱覽》研究報告中顯示：截止2021年5月，全美公共事業部門平均漏洞修復時間在205天，全部應用中超過66%存在至少一個可利用的開放漏洞；製造業60%以上的應用存在超過365天的漏洞暴露視窗期；金融業約40%的應用具有365天的漏洞暴露視窗期。

我們有理由相信，國內的整體安全現狀並不會比美國強多少（或者並不會比美國強）。關於漏洞的檢出和處置的話題、技術和產品，在國內已經超過20年了，在美國的時間更長。為什麼隨著安全技術越來越成熟，安全產品的品類越來越多，漏洞修復時間卻越來越長，安全運營的工作量反而增多了，效果反而變差了？

我們認為，主要有以下3個方面的原因：

1. IT行業的技術和應用更加豐富。在傳統網際網路時代，大部分漏洞集中在作業系統、中介軟體、業務應用等方面，而隨著移動網際網路、雲技術、IOT等的普及和應用，漏洞影響的範圍成倍數的增加了；

2. 漏洞的數量增長迅速。以美國國家漏洞庫（NVD）在2017年到2019年釋出的結果來看，3年時間裡漏洞從9837個/年增長到16500個/年。我國的國家資訊保安漏洞共享平臺（CNVD）顯示，2020年漏洞總數量為20239個；

3. 雖然安全產品和技術種類增加了，但是很多並沒有聚焦到如何直接抑制黑客攻擊。

我國為了加強在漏洞管理方面的力度，切實有效的直接防範國內外黑客攻擊，在2021年7月12日由工業和資訊化部、國家網際網路資訊辦公室、公安部三部門聯合釋出了《網路產品安全漏洞管理規定》，並於2021年9月1日施行。這是我國第一次將漏洞管理和法律責罰結合在一起釋出的檔案，這也體現了網路安全中進行高效漏洞管理的重要性，標誌著我國在漏洞管理方面將進行強力度的整改。

儘管《規定》中並未對操作細節和技術要求進行定義，但是已經明確說明了主體責任和相關罰則。

在日益成熟的DevSecOps領域，美國權威開源軟體機構WhiteSource釋出了《DevSecOps深度分析報告——安全vs.開發: DevSecOps的決戰》，調查顯示，目前雖然大部分成熟的機構都在DevSecOps領域有所建樹，但是仍然存在以下四個主要問題：

我們可以看到，在技術關鍵點上，漏洞優先順序的確定以及相關流程的完善，是影響DevSecOps成熟的主要問題。以下為報告引用：

安全左移是DevSecOps的重要部分之一，而安全左移的同時，白盒檢測等相關的安全檢測產品會爆出大量開發階段的安全漏洞，並且無論是白盒還是黑盒安全檢測，檢測的工具越豐富、手段越多，漏洞數量就越豐富。但是如上所述，DevSecOps遇到的第一個問題就是“大多數安全人員和開發人員都感到被迫要在安全性上妥協，以滿足最後交付期限的要求”。產品的Deadline是開發人員無法突破的，所以確定漏洞優先順序，並處理最需要解決的問題就勢在必行。

4.VPT的原理和實現

通過綜合研究Gartner的各類技術報告和方法論，以及Tenable和WhiteSource等組織的報告、研究結果和解決方案，我們認為在VPT（漏洞優先順序）的產品實現上應該做到以下幾點：

Step1：建立漏洞情報庫並進行動態的漏洞應急響應

漏洞情報庫並非漏洞庫，目前很多人將其混為一談。漏洞情報庫應該包含至少4方面的內容：

1. 較完善的漏洞庫，其中至少應包含：CVE、CWE、NVD、CNVD、CNNVD等常規漏洞庫；

2. 全國或全球攻擊面測繪資料；

3. 在野EXP庫；

4. 漏洞開源情報。

對於漏洞情報要進行動態分析，尤其要關注0day和1day開源情報。對在野EXP的持續技術分析、0day和1day開源情報的漏洞分析，以及這些漏洞在全國和全球範圍的影響度和攻擊可能性的分析。

這些資料將是漏洞優先順序排序的重要引數之一。

在這方面，Tenable給出了很好的示範。

一方面，他們對於在野漏洞可使用情況進行了統計分析：

在每年新發現的近20000個漏洞中，即使安全團隊修補了所有高危和嚴重漏洞，也不過只修復了24%的可利用漏洞，而這更意味著，安全團隊有76%的時間消耗在短期內幾乎無風險的漏洞上。更糟糕的是，有44%的短期可被利用的漏洞被評為中低風險，而很可能被忽略掉。

這裡的原因正如卡內基梅隆大學軟體工程研究所所述：CVSS旨在識別漏洞的技術嚴重性。相反，人們似乎想知道的是，漏洞或缺陷給他們帶來的風險，或者是他們面對漏洞應該有如何的反應速度。

可惜的是，目前幾乎所有國內外漏洞掃描報告、滲透測試報告或漏洞評級都是依據這個方法定義的。

另一方面，Tenable在通過對20萬億漏洞情報等資料進行人工分析和機器學習後認為安全團隊應該優先關注的漏洞佔所有漏洞的3%左右。

Step2：建立漏洞優先順序模型

3%的漏洞需要優先處理，也就意味著，安全團隊在漏洞優先順序排序技術的幫助下，僅需要消耗比以前少的多的時間和精力，就可以使安全達到一個較高的水平，可以將其餘時間和精力花費在更緊急和需要完成的工作上。

Step3：繪製完整的網路資產攻擊面

漏洞優先順序並不是針對某一部分IT資產，而應該是企業或組織內部所有管轄的IT資產。傳統認知的IT資產，包括伺服器、資料庫、中介軟體、業務應用等，而現在我們應該關注的，除了傳統認知的IT資產以外，還應該包含移動APP、小程式、雲端資產、容器、IOT裝置等等。

尤其是要重點關注的還應該包括兩類：一類是影子資產的存在和檢出，因為無論是真實的黑客攻擊，還是在護網等專案中，影子資產往往是最容易被安全團隊忽略和最易受到攻擊的；另一類是安全裝置本身，這也是非常容易被忽略的，但是從近幾年護網和1day事件來看，安全裝置本身出現問題屢見不鮮，並且如果出現了問題，往往導致整體安全性驟然降低。

繪製完整的網路資產攻擊面，是實現VPT場景化解決方案的輔助手段。現在的技術方向屬於“網路空間測繪”或“CAASM（網路資產攻擊面管理 ）”。這個能力可以是VPT產品的自有能力，也可以是整合相關產品的能力。

Step4：適應DevSecOps並具備自動化能力

VPT另外一個核心能力要求，就是要“利用現有漏洞掃描工具和各種漏洞資料”，這不僅僅是Gartner方法論中提出的要求，而是隻有做到了這個要求，才能更有效的將VPT技術整合在DevSecOps流程中。它應該包含至少3方面的能力：

1. 符合DevSecOps和組織的基本流程，並可以在某些程度上依據組織的要求進行定製；

2. 能夠整合各類漏洞資料來源，包括：網路掃描器、Web掃描器、APP掃描器、白盒審計、滲透測試、眾測資料（甚至可以自建企業SRC）等等；

3. 對於組織自開發的業務應用，應該具有漏洞演算法和調優的能力（可以考慮使用機器學習），因為企業自開發的業務應用發現的一些漏洞，往往很難匹配到通用漏洞中。

此外，Gartner對於VPT的要求中提到，其應該具備一定的SOAR能力，也就是說，它應該具備漏洞相關產品的自動化呼叫和具有一定的流程編排能力。

5.對於VPT的期待

VPT（漏洞優先順序技術）是一個漏洞管理（VM）領域的微創新技術。目前國際上對於VPT的認可度正突飛猛進，但國內尚處於萌芽階段，作為資訊保安從業者，我們有義務對該技術進行推廣和實現。我們是國內最早在該技術方向進行產品研發和方案落地的公司，並於今年7月在“ISC 2021網際網路安全大會”上進行了主題演講和技術分享。希望它們能夠有效的提高安全工作的效率，提升企業安全運營的效果。