Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅

下面是对 16 个预测优先级分析问题的回答

今年初,Tenable 推出了预测优先级分析,这是一个以数据科学为基础的突破性流程,可根据每个漏洞在攻击中被利用的可能性,预先对其进行优先级分析。以下是我们针对您在漏洞管理实践中,使用这项新功能的 16 个最紧迫的问题提供的回答。

2018 年我们总共披露了 16500 个全新漏洞,CVSS 将其绝大多数分类为“高危”或“严重”等级。随着漏洞数量的上涨,该如何识别企业面临的最紧迫威胁,并了解哪些需要第一时间得到修复?预测优先级分析是一种创新流程,可改变企业应对漏洞超负荷问题的方式,帮助有的放矢地修复最紧迫的漏洞。想了解预测优先级分析的作用原理?在预测优先级分析 FAQ 中获取上述问题及其他常见问题的答案。

问:什么是预测优先级分析?

答:预测优先级分析,是根据漏洞在攻击中遭利用的可能性,对漏洞重新进行优先级分析的流程。

问:预测优先级分析与漏洞优先级评级 (VPR) 之间的区别是什么?

答:预测优先级分析流程的产出,即漏洞优先级评级 (VPR),代表单个漏洞修复的优先级。VPR 的量度由 0 到 10,其中 10 代表严重程度最高。观看以下视频,深入了解 VPR。

问:为何需要 VPR 评分?CVSS 不是已经能分析漏洞优先级了吗?

答:CVSS 在捕捉漏洞的范围和影响方面成效显著,该评分能够很好地解释“某个漏洞一旦遭利用会有什么后果”这一问题。该评分还能为评估一个漏洞遭利用的可能性提供基础。但是,在目前的应用中,它无法为有效优先级分析提供足够的粒度。在所有 CVE 中大约有 60% 被 CVSS 评为高危或严重。

预测优先级分析仍然沿用 CVSS 框架(见下图),但在此基础上进行功能加强,将 CVSS 可利用性与漏洞利用代码成熟度部分,替换为由机器学习(经过各类数据来源的训练)产生的威胁评分。这意味着企业做出漏洞修复的决策时能够兼顾以下因素:

  • 很可能会遭利用
  • 一旦遭利用会造成重大影响

CVSS 与预测优先级分析框架对比

问:VPR 评分能否代替 CVSS 评分?

答:不能。我们建议用 VPR 弥补现有优先级分析流程(如 CVSS)的不足。

问:VPR 与 CVSS 的严重程度分档有何异同?

答:CVSS 与 VPR 建立分档所采用的分界点相同。但不同优先级分析流程的结果分布差异巨大(见下图)。

问:哪些漏洞拥有 VPR?

答:目前,预测优先级分析对于在美国国家漏洞数据库 (NVD) 中发布有 CVE 的所有漏洞均会进行 VPR 评定。我们计划在未来扩展预测优先级分析评分的漏洞范围。

问:VPR(评分)是否会调整?

答:会,预测优先级分析每天都会对每个 CVE 重新计算 VPR。根据威胁形势,评级可能会调整,也可能不会。阅读技术白皮书了解更多信息。

问:预测优先级分析能否为没有 CVSS 评分的 CVE 生成 VPR?

答:能。假设某个 CVE 还没有公开的 CVSS 指标/评分,预测优先级分析就会利用可获得的信息(如漏洞描述)生成 VPR,我们使用这些信息训练这个模型,使其根据原始文本中出现的关键字预测评分。

举例来说,某个漏洞的描述中包含“Adobe”和“arbitrary code execution”(任意代码执行)等关键字,鉴于过去具有相似特征的漏洞状况,模型就会预测 CVSS 评分会较高。这些预测值之后会由发布的实际 CVSS 评分取代。由于 NVD 往往在漏洞公开后 45 天才能发布 CVSS 评分,上述方式的优势显而易见。

问:请帮我进一步了解 VPR 评分。严重 (>9) VPR 实际是指什么?低 VPR 呢?

答:一般来说,严重 VPR 意味着相关漏洞遭利用的可能性高,且/或一旦真的遭利用,其影响巨大。

反之,如果漏洞遭利用的可能性较低,且/或即便真的遭利用,影响也较小,预测优先级分析就会将之评为低 VPR。但是请谨记,我们无法断言一个漏洞 100% 不会遭利用。

问:Tenable 称,预测优先级分析可让企业全力处理 3% 最紧迫的漏洞。3% 是什么意思?

答:这里的 3% 是指具有高危或严重 VPR 的漏洞,可为分析漏洞修复的优先级提供参考。我们建议首先修复具有严重和高危 VPR 的漏洞,并按照漏洞评级清单依次处理。但这绝不代表我们建议企业无视其余 97% 的漏洞。

问:VPR 与 CVSS 时间性评分的区别是什么?

答:两者之间最主要的区别在于 VPR 评分能够预测未来,而 CVSS 评分侧重回顾过去。VPR 不仅会考虑漏洞利用代码的可得性与功能性,还能预测漏洞在未来短期内遭利用的可能性。在分析可利用性方面,VPR 的粒度也更细致。

问:“预测”(Predictive) 听上去很有意思,不过在实际应用中,它为何如此重要?

答:与漏洞评分时只查看历史数据不同,我们是将历史数据与基于机器学习的预测算法相结合,由此预测未来可能发生而不是过往发生的威胁,同时做好应对准备。谈到管理风险,了解过去委实重要,但更要紧的是知晓未来的可能状况。

问:“可利用”与“遭利用”之间有区别吗?

答:是的。“可利用”只不过意味着存在可获取的利用方式,还停留在基础层面,只是向公众公布一种概念论证,本身缺乏可靠性。“遭利用”的漏洞则非常严重,意味着已经发生了实实在在的漏洞攻击事件。

问:一个漏洞要是曾经遭利用,会怎样?

答:一个之前可能已遭利用的漏洞,未来再次遭到主动利用(如用于网络攻击)的可能性会随时间而改变。

问:你们是否会分析每一个漏洞的完整历史?

答:我们会回顾自漏洞公开之日起所有可获得的信息。

问:威胁评分机器学习模型的资料依据有哪些?

答:预测优先级分析目前采用超过 150 项不同的特征,作为机器学习模型的材料依据,由此得出威胁评分。特征(或材料依据)即 CVE 的某项属性,可让我们更清晰地描述或了解漏洞。以下是一些示例:

  • 漏洞存在历史
  • 漏洞利用工具可得性
  • 暗网中的讨论热度

概括来说,我们倾向于将这些特征分为以下几类:

  • 过去的威胁模式(如过去的可利用性证据,包括距今时间、频率)
  • 过去的威胁来源(如显示出可利用性证据的具体来源)
  • 漏洞指标(CVSS 指标,如攻击途径、攻击复杂度、基础评分等)
  • 漏洞元数据(漏洞存在历史、CVE、受漏洞影响的供应商/软件等)
  • 利用威胁情报数据分析漏洞可利用性(漏洞是否在漏洞利用数据库中? 是否在 Metasploit 中?)

 如今,该数据的来源有七大类:

  • 信息安全网站
  • 博客
  • 漏洞披露
  • 社交媒体
  • 论坛
  • 暗网
  • 漏洞形势

探索其他预测优先级分析资源

我们根据客户对预测优先级分析最常见的问题精心制作本 FAQ,之后也将根据需求不断更新本贴。可在此处下载本 FAQ 的 PDF 版本

以下是其他一些可能带来帮助的资源:

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable.io Vulnerability Management 试用版还包括 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。

选择您的许可证

购买多年期许可,即享优惠价格

添加支持和培训

Tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。

Tenable.io Vulnerability Management 试用版还包括 Tenable Lumin、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

Tenable.io 购买

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买

试用 Tenable.io Web Application Scanning

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

Tenable Web Application Scanning 试用版还包括 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.cs Cloud Security。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

试用 Tenable.io Container Security

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

试用 Tenable Lumin

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

Tenable Lumin 试用版还包括 Tenable.io Vulnerability Management、Tenable.io Web Application Scanning 和 Tenable.cs Cloud Security。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

试用 Tenable.cs

获取检测和修复云基础设施错误配置以及查看运行时漏洞的完全访问权限。立即注册,免费试用。

Tenable.cs Cloud Security 试用版还包括 Tenable.io Vulnerability Management、Tenable Lumin 和 Tenable.io Web Application Scanning。

联系销售代表购买 Tenable.cs

联系销售代表,了解有关 Tenable.cs 云安全的更多信息,并了解如何轻松加入您的云帐户,并在几分钟内获得云错误配置和漏洞的可见性。

免费试用 Nessus Expert

免费试用 7 天

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

已经有 Nessus Professional?
免费升级到 Nessus Expert 7 天。

购买 Nessus Expert

Nessus Expert 针对现代攻击面而量身打造,可以查看更多信息,保护企业免遭从 IT 到云中漏洞的攻击。

选择您的许可证

促销价格已延长到 2 月 28 日。
购买多年许可证,节省幅度更大。

添加支持和培训