下面是对 16 个预测优先级分析问题的回答

今年初，Tenable 推出了预测优先级分析，这是一个以数据科学为基础的突破性流程，可根据每个漏洞在攻击中被利用的可能性，预先对其进行优先级分析。以下是我们针对您在漏洞管理实践中，使用这项新功能的 16 个最紧迫的问题提供的回答。

2018 年我们总共披露了 16500 个全新漏洞，CVSS 将其绝大多数分类为“高危”或“严重”等级。随着漏洞数量的上涨，该如何识别企业面临的最紧迫威胁，并了解哪些需要第一时间得到修复？预测优先级分析是一种创新流程，可改变企业应对漏洞超负荷问题的方式，帮助有的放矢地修复最紧迫的漏洞。想了解预测优先级分析的作用原理？获取上述问题及其他常见问题的答案。

问：什么是预测优先级分析？

答：预测优先级分析，是根据漏洞在攻击中遭利用的可能性，对漏洞重新进行优先级分析的流程。

问：预测优先级分析与漏洞优先级评级 (VPR) 之间的区别是什么？

答：预测优先级分析流程的产出，即漏洞优先级评级 (VPR)，代表单个漏洞修复的优先级。VPR 的量度由 0 到 10，其中 10 代表严重程度最高。观看以下视频，深入了解 VPR。

问：为何需要 VPR 评分？CVSS 不是已经能分析漏洞优先级了吗？

答：CVSS 在捕捉漏洞的范围和影响方面成效显著，该评分能够很好地解释“某个漏洞一旦遭利用会有什么后果”这一问题。该评分还能为评估一个漏洞遭利用的可能性提供基础。但是，在目前的应用中，它无法为有效优先级分析提供足够的粒度。在所有 CVE 中大约有 60% 被 CVSS 评为高危或严重。

预测优先级分析仍然沿用 CVSS 框架（见下图），但在此基础上进行功能加强，将 CVSS 可利用性与漏洞利用代码成熟度部分，替换为由机器学习（经过各类数据来源的训练）产生的威胁评分。这意味着企业做出漏洞修复的决策时能够兼顾以下因素：

• 很可能会遭利用
• 一旦遭利用会造成重大影响

问：VPR 评分能否代替 CVSS 评分？

答：不能。我们建议用 VPR 弥补现有优先级分析流程（如 CVSS）的不足。

问：VPR 与 CVSS 的严重程度分档有何异同？

答：CVSS 与 VPR 建立分档所采用的分界点相同。但不同优先级分析流程的结果分布差异巨大（见下图）。

问：哪些漏洞拥有 VPR？

答：目前，预测优先级分析对于在美国国家漏洞数据库 (NVD) 中发布有 CVE 的所有漏洞均会进行 VPR 评定。我们计划在未来扩展预测优先级分析评分的漏洞范围。

问：VPR（评分）是否会调整？

答：会，预测优先级分析每天都会对每个 CVE 重新计算 VPR。根据威胁形势，评级可能会调整，也可能不会。

问：预测优先级分析能否为没有 CVSS 评分的 CVE 生成 VPR？

答：能。假设某个 CVE 还没有公开的 CVSS 指标/评分，预测优先级分析就会利用可获得的信息（如漏洞描述）生成 VPR，我们使用这些信息训练这个模型，使其根据原始文本中出现的关键字预测评分。

举例来说，某个漏洞的描述中包含“Adobe”和“arbitrary code execution”（任意代码执行）等关键字，鉴于过去具有相似特征的漏洞状况，模型就会预测 CVSS 评分会较高。这些预测值之后会由发布的实际 CVSS 评分取代。由于 NVD 往往在漏洞公开后 45 天才能发布 CVSS 评分，上述方式的优势显而易见。

问：请帮我进一步了解 VPR 评分。严重 (>9) VPR 实际是指什么？低 VPR 呢？

答：一般来说，严重 VPR 意味着相关漏洞遭利用的可能性高，且/或一旦真的遭利用，其影响巨大。

反之，如果漏洞遭利用的可能性较低，且/或即便真的遭利用，影响也较小，预测优先级分析就会将之评为低 VPR。但是请谨记，我们无法断言一个漏洞 100% 不会遭利用。

问：Tenable 称，预测优先级分析可让企业全力处理 3% 最紧迫的漏洞。3% 是什么意思？

答：这里的 3% 是指具有高危或严重 VPR 的漏洞，可为分析漏洞修复的优先级提供参考。我们建议首先修复具有严重和高危 VPR 的漏洞，并按照漏洞评级清单依次处理。但这绝不代表我们建议企业无视其余 97% 的漏洞。

问：VPR 与 CVSS 时间性评分的区别是什么？

答：两者之间最主要的区别在于 VPR 评分能够预测未来，而 CVSS 评分侧重回顾过去。VPR 不仅会考虑漏洞利用代码的可得性与功能性，还能预测漏洞在未来短期内遭利用的可能性。在分析可利用性方面，VPR 的粒度也更细致。

问：“预测”(Predictive) 听上去很有意思，不过在实际应用中，它为何如此重要？

答：与漏洞评分时只查看历史数据不同，我们是将历史数据与基于机器学习的预测算法相结合，由此预测未来可能发生而不是过往发生的威胁，同时做好应对准备。谈到管理风险，了解过去委实重要，但更要紧的是知晓未来的可能状况。

问：“可利用”与“遭利用”之间有区别吗？

答：是的。“可利用”只不过意味着存在可获取的利用方式，还停留在基础层面，只是向公众公布一种概念论证，本身缺乏可靠性。“遭利用”的漏洞则非常严重，意味着已经发生了实实在在的漏洞攻击事件。

问：一个漏洞要是曾经遭利用，会怎样？

答：一个之前可能已遭利用的漏洞，未来再次遭到主动利用（如用于网络攻击）的可能性会随时间而改变。

问：你们是否会分析每一个漏洞的完整历史？

答：我们会回顾自漏洞公开之日起所有可获得的信息。

问：威胁评分机器学习模型的资料依据有哪些？

答：预测优先级分析目前采用超过 150 项不同的特征，作为机器学习模型的材料依据，由此得出威胁评分。特征（或材料依据）即 CVE 的某项属性，可让我们更清晰地描述或了解漏洞。以下是一些示例：

• 漏洞存在历史
• 漏洞利用工具可得性
• 暗网中的讨论热度

概括来说，我们倾向于将这些特征分为以下几类：

• 过去的威胁模式（如过去的可利用性证据，包括距今时间、频率）
• 过去的威胁来源（如显示出可利用性证据的具体来源）
• 漏洞指标（CVSS 指标，如攻击途径、攻击复杂度、基础评分等）
• 漏洞元数据（漏洞存在历史、CVE、受漏洞影响的供应商/软件等）
• 利用威胁情报数据分析漏洞可利用性（漏洞是否在漏洞利用数据库中？ 是否在 Metasploit 中？）

 如今，该数据的来源有七大类：

• 信息安全网站
• 博客
• 漏洞披露
• 社交媒体
• 论坛
• 暗网
• 漏洞形势

探索其他预测优先级分析资源

我们根据客户对预测优先级分析最常见的问题精心制作本 FAQ，之后也将根据需求不断更新本贴。

以下是其他一些可能带来帮助的资源：

• 观看随需网络研讨会“要降低 Cyber Exposure，找到并最先修复 3% 影响最大的漏洞”
• 探索预测优先级分析网页