讓弱點優先順序一目瞭然，漏洞管理：標準化安全運營利器

讓弱點優先順序一目瞭然，漏洞管理——標準化安全運營利器

在漏洞紕漏量逐年增長、爆發增速越來越快的今日，漏洞查詢到定位修復的速度至關重要，最常用的cvss繼續評估修復優先順序卻存在和合理性。

為何cvss繼續評估修復優先順序不能繼續使用?

漏洞弱點如何進行準確快速的優先順序排序？

我們在本文中展開討論。

一、為何漏洞檢測修復工作生生不息？

從CNVD公佈的近十年漏洞數量來看，漏洞披露量逐年驟增。而且，隨著資訊科技建設浪潮增長，漏洞爆發增速越來越快。

當前隨著大資料局的集中化安全管控，政府使用者漏洞的檢測與修復壓力與日俱增，不僅有網信辦、公安網監等網路安全監管職能的部門在開展安全檢測與通報的活動，而且一些較積極的政數局也會開展檢測行動，防止政務雲平臺內的系統被外部通報從而影響整體政數局的安全水平。

在各級監管、主管單位的檢測通報競賽下，各地的委辦局面臨著檢測通報的高壓，修復工作更是生生不息。

對於有著關鍵資訊基礎設施的企業、機構而言，安全也成為越來越重要的考核指標。以往，企業的業務系統中難免有著大量的歷史遺留漏洞，業務部門注重業務而忽視風險，漏洞修復工作往往比較難推進。相比起外部監管壓力，內部安全管理工作推動阻力會更大。

哪些漏洞需要及時修復，哪些漏洞面臨真正的攻擊挑戰，是安全團隊應該充分思考的話題。安全團隊或者監管機構應該能夠有更科學地方法論與證據去推動業務部門的整改，和業務部門站在一條戰線上開展漏洞修復的工作。

 二、為什麼不能用cvss繼續評估修復優先順序？

國內外傳統的安全廠商在評估漏洞的風險等級時，通常引用的CVSS，監管機構或者安全團隊下發漏洞通知時也大多依據cvss評分提供漏洞嚴重等級。

卡內基·梅隆大學教員DeanaSchick寫道：“CVSS旨在衡量漏洞在技術上的嚴重程度，但卻被廣泛濫用為漏洞優先順序分析和風險評估的手段。該評分演算法的合理性不足，並且缺乏讓組織理解其原本功能所需的透明度。”

CVSS從漏洞造成的風險角度評估漏洞的嚴重性，但是攻擊者從不在意CVSS的評分等級，他們尋找的是可被快速利用，並能產生控制後果的漏洞。因此，漏洞修復者應該轉變為攻擊者視角看待漏洞話題，才能知道哪些漏洞是真正會被利用的，是需要急迫修復的。從過去每年披露的漏洞中可以看到，真正被利用的漏洞佔比極小，安全團隊如何找到這些漏洞已經成為了安全運營工作中非常核心的一環。

  

 

從X-force的調研報告中可知過去十年中被利用的漏洞的總體百分比約為 9%，大多數披露的漏洞都沒有被利用。因此，組織可以透過僅將修復和緩解工作重點放在造成最大風險的那些漏洞上，從而節省大量時間和精力，顯著降低風險。

而同時，真正會被利用的漏洞其從披露到利用的平均時間正在急劇縮短，從以往的30天內可能，到現在只需要7天時間漏洞就會被利用。如果無法辨別漏洞需要修復的緊急程度，那麼攻擊者對漏洞的利用反應具有先發優勢。

    

三、基於風險的漏洞管理技術有望推動修復工作開展

在2020年9月的“Gartner安全風險與管理峰會”上釋出的《2020-2021 Top Security Projects》中，首次正式提出“Risk-Based Vulnerability Management”（基於風險的弱點管理）專案，作為TOP 10的第二項，成為了最受關注的安全專案之一。

RBVM站在攻擊者視角從風險維度評估弱點是否需要處置，採用資產發現-弱點檢測-弱點優先順序分析-修復的過程進行弱點整體運營，目的為讓使用者找到最容易被攻擊的弱點從而進行弱點運營管理，真正幫助使用者降低被入侵的風險。

RBVM中的核心技術為VPT，即弱點優先順序分析，該項技術在Gartner中被放在了安全運營的技術曲線分析，目前處於炒作期最高點。該技術核心是為了讓安全運營團隊聚焦在10%的最需修復的漏洞上，回答漏洞修復時面臨的經典問題：為什麼要修復該漏洞？不修復有什麼影響？

在弱點優先順序技術中，最關鍵的一點為依靠漏洞情報來計算優先順序程度，這要求能將漏洞情報轉化為機讀指標，並形成優先順序計算方法。

安恆的漏洞情報機讀的指標包括了5大維度：

1、漏洞是否可被利用

2、漏洞被利用的容易程度

3、漏洞利用的後果：資料丟失、許可權提升、拒絕服務等

4、漏洞披露時間

5、漏洞的修復方式：配置、補丁、程式碼加固等

並且安恆的漏洞研究員團隊對於漏洞情報長期持續跟蹤與跟新，這決定了情報的質量，如漏洞的利用工具EXP披露情況，漏洞新型利用方式或者與惡意檔案的結合等，都在隨時影響著漏洞本身的利用程度與影響面。

基於漏洞情報維度，安恆結合了資產的重要性與網際網路暴露面分析2個資產維度，綜合分析出企業/政府，在當前的網路環境中，最容易被攻擊的資產弱點，從而協助使用者聚焦最需要優先解決的弱點。

四、 真正聚焦運營10%的可被利用漏洞

基於多維度的漏洞情報與資產重要性，形成的弱點優先順序演算法在真實的環境中測試，發現可以有效聚焦在網路環境中存在的漏洞。下圖為某單位檢測的漏洞情況，在使用一般性的弱點檢測工具後，透過cvss 的安全等級評估，則該網路區域內有50%的高危緊急漏洞。而在採用了弱點優先順序演算法後，可以看到在9-10分需要緊急修復的弱點數量，聚焦到15%左右。

分析這15%聚焦後的弱點，發現基本符合漏洞應急處置時重點關注的型別，暴露在網際網路上、已有披露漏洞利用情況，漏洞利用較容易，並且利用後會造成提權與資料洩露等嚴重危害，較為典型的為在網際網路中的部分業務系統存在struts2-045，weblogic反序列化遠端命令執行等型別漏洞。過去，這類篩選識別是透過安全運營人員的漏洞認知水平開展，具有較大的人員差異性，缺乏統一的公信力，業務部門很難快速接受並迅速整改，往往會有各類質疑與挑戰。

五、基於 VPT開展安全運營，有效推動業務部門開展處置工作

無論是在監管單位還是單位內部的安全團隊，透過漏洞情報與VPT的能力，一方面可以快速篩選出需要儘快整改的弱點，省去了過去在海量漏洞中驗證、取證篩選的環節，高效聚焦。另一方面，在下發安全通知整改時，有統一的標準衡量修復緊急程度，將會讓安全處置工作更能被業務部門認知與接受，雙方共同合作開展安全建設工作，尤其能讓漏洞緊急處置響應流程運營地更高效。

目前安恆已經在多個網路安全監管單位、企事業單位內部的安全團隊中應用VPT核心能力，協助安全通報、安全處置、安全考核的運營過程。