下面是对 16 个预测优先级分析问题的回答
今年初,Tenable 推出了预测优先级分析,这是一个以数据科学为基础的突破性流程,可根据每个漏洞在攻击中被利用的可能性,预先对其进行优先级分析。以下是我们针对您在漏洞管理实践中,使用这项新功能的 16 个最紧迫的问题提供的回答。
2018 年我们总共披露了 16500 个全新漏洞,CVSS 将其绝大多数分类为“高危”或“严重”等级。随着漏洞数量的上涨,该如何识别企业面临的最紧迫威胁,并了解哪些需要第一时间得到修复?预测优先级分析是一种创新流程,可改变企业应对漏洞超负荷问题的方式,帮助有的放矢地修复最紧迫的漏洞。想了解预测优先级分析的作用原理?获取上述问题及其他常见问题的答案。
问:什么是预测优先级分析?
答:预测优先级分析,是根据漏洞在攻击中遭利用的可能性,对漏洞重新进行优先级分析的流程。
问:预测优先级分析与漏洞优先级评级 (VPR) 之间的区别是什么?
答:预测优先级分析流程的产出,即漏洞优先级评级 (VPR),代表单个漏洞修复的优先级。VPR 的量度由 0 到 10,其中 10 代表严重程度最高。观看以下视频,深入了解 VPR。
问:为何需要 VPR 评分?CVSS 不是已经能分析漏洞优先级了吗?
答:CVSS 在捕捉漏洞的范围和影响方面成效显著,该评分能够很好地解释“某个漏洞一旦遭利用会有什么后果”这一问题。该评分还能为评估一个漏洞遭利用的可能性提供基础。但是,在目前的应用中,它无法为有效优先级分析提供足够的粒度。在所有 CVE 中大约有 60% 被 CVSS 评为高危或严重。
预测优先级分析仍然沿用 CVSS 框架(见下图),但在此基础上进行功能加强,将 CVSS 可利用性与漏洞利用代码成熟度部分,替换为由机器学习(经过各类数据来源的训练)产生的威胁评分。这意味着企业做出漏洞修复的决策时能够兼顾以下因素:
- 很可能会遭利用
- 一旦遭利用会造成重大影响
问:VPR 评分能否代替 CVSS 评分?
答:不能。我们建议用 VPR 弥补现有优先级分析流程(如 CVSS)的不足。
问:VPR 与 CVSS 的严重程度分档有何异同?
答:CVSS 与 VPR 建立分档所采用的分界点相同。但不同优先级分析流程的结果分布差异巨大(见下图)。
问:哪些漏洞拥有 VPR?
答:目前,预测优先级分析对于在美国国家漏洞数据库 (NVD) 中发布有 CVE 的所有漏洞均会进行 VPR 评定。我们计划在未来扩展预测优先级分析评分的漏洞范围。
问:VPR(评分)是否会调整?
答:会,预测优先级分析每天都会对每个 CVE 重新计算 VPR。根据威胁形势,评级可能会调整,也可能不会。
问:预测优先级分析能否为没有 CVSS 评分的 CVE 生成 VPR?
答:能。假设某个 CVE 还没有公开的 CVSS 指标/评分,预测优先级分析就会利用可获得的信息(如漏洞描述)生成 VPR,我们使用这些信息训练这个模型,使其根据原始文本中出现的关键字预测评分。
举例来说,某个漏洞的描述中包含“Adobe”和“arbitrary code execution”(任意代码执行)等关键字,鉴于过去具有相似特征的漏洞状况,模型就会预测 CVSS 评分会较高。这些预测值之后会由发布的实际 CVSS 评分取代。由于 NVD 往往在漏洞公开后 45 天才能发布 CVSS 评分,上述方式的优势显而易见。
问:请帮我进一步了解 VPR 评分。严重 (>9) VPR 实际是指什么?低 VPR 呢?
答:一般来说,严重 VPR 意味着相关漏洞遭利用的可能性高,且/或一旦真的遭利用,其影响巨大。
反之,如果漏洞遭利用的可能性较低,且/或即便真的遭利用,影响也较小,预测优先级分析就会将之评为低 VPR。但是请谨记,我们无法断言一个漏洞 100% 不会遭利用。
问:Tenable 称,预测优先级分析可让企业全力处理 3% 最紧迫的漏洞。3% 是什么意思?
答:这里的 3% 是指具有高危或严重 VPR 的漏洞,可为分析漏洞修复的优先级提供参考。我们建议首先修复具有严重和高危 VPR 的漏洞,并按照漏洞评级清单依次处理。但这绝不代表我们建议企业无视其余 97% 的漏洞。
问:VPR 与 CVSS 时间性评分的区别是什么?
答:两者之间最主要的区别在于 VPR 评分能够预测未来,而 CVSS 评分侧重回顾过去。VPR 不仅会考虑漏洞利用代码的可得性与功能性,还能预测漏洞在未来短期内遭利用的可能性。在分析可利用性方面,VPR 的粒度也更细致。
问:“预测”(Predictive) 听上去很有意思,不过在实际应用中,它为何如此重要?
答:与漏洞评分时只查看历史数据不同,我们是将历史数据与基于机器学习的预测算法相结合,由此预测未来可能发生而不是过往发生的威胁,同时做好应对准备。谈到管理风险,了解过去委实重要,但更要紧的是知晓未来的可能状况。
问:“可利用”与“遭利用”之间有区别吗?
答:是的。“可利用”只不过意味着存在可获取的利用方式,还停留在基础层面,只是向公众公布一种概念论证,本身缺乏可靠性。“遭利用”的漏洞则非常严重,意味着已经发生了实实在在的漏洞攻击事件。
问:一个漏洞要是曾经遭利用,会怎样?
答:一个之前可能已遭利用的漏洞,未来再次遭到主动利用(如用于网络攻击)的可能性会随时间而改变。
问:你们是否会分析每一个漏洞的完整历史?
答:我们会回顾自漏洞公开之日起所有可获得的信息。
问:威胁评分机器学习模型的资料依据有哪些?
答:预测优先级分析目前采用超过 150 项不同的特征,作为机器学习模型的材料依据,由此得出威胁评分。特征(或材料依据)即 CVE 的某项属性,可让我们更清晰地描述或了解漏洞。以下是一些示例:
- 漏洞存在历史
- 漏洞利用工具可得性
- 暗网中的讨论热度
概括来说,我们倾向于将这些特征分为以下几类:
- 过去的威胁模式(如过去的可利用性证据,包括距今时间、频率)
- 过去的威胁来源(如显示出可利用性证据的具体来源)
- 漏洞指标(CVSS 指标,如攻击途径、攻击复杂度、基础评分等)
- 漏洞元数据(漏洞存在历史、CVE、受漏洞影响的供应商/软件等)
- 利用威胁情报数据分析漏洞可利用性(漏洞是否在漏洞利用数据库中? 是否在 Metasploit 中?)
如今,该数据的来源有七大类:
- 信息安全网站
- 博客
- 漏洞披露
- 社交媒体
- 论坛
- 暗网
- 漏洞形势
探索其他预测优先级分析资源
我们根据客户对预测优先级分析最常见的问题精心制作本 FAQ,之后也将根据需求不断更新本贴。
以下是其他一些可能带来帮助的资源:
- 观看随需网络研讨会“要降低 Cyber Exposure,找到并最先修复 3% 影响最大的漏洞”
- 探索预测优先级分析网页
相关文章
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning