让弱点优先级一目了然，漏洞管理——标准化安全运营利器

在漏洞纰漏量逐年增长、爆发增速越来越快的今日，漏洞查询到定位修复的速度至关重要，最常用的cvss继续评估修复优先级却存在和合理性。

为何cvss继续评估修复优先级不能继续使用?

漏洞弱点如何进行准确快速的优先级排序？

我们在本文中展开讨论。

一、为何漏洞检测修复工作生生不息？

从CNVD公布的近十年漏洞数量来看，漏洞披露量逐年骤增。而且，随着信息技术建设浪潮增长，漏洞爆发增速越来越快。

当前随着大数据局的集中化安全管控，政府用户漏洞的检测与修复压力与日俱增，不仅有网信办、公安网监等网络安全监管职能的部门在开展安全检测与通报的活动，而且一些较积极的政数局也会开展检测行动，防止政务云平台内的系统被外部通报从而影响整体政数局的安全水平。

在各级监管、主管单位的检测通报竞赛下，各地的委办局面临着检测通报的高压，修复工作更是生生不息。

对于有着关键信息基础设施的企业、机构而言，安全也成为越来越重要的考核指标。以往，企业的业务系统中难免有着大量的历史遗留漏洞，业务部门注重业务而忽视风险，漏洞修复工作往往比较难推进。相比起外部监管压力，内部安全管理工作推动阻力会更大。

哪些漏洞需要及时修复，哪些漏洞面临真正的攻击挑战，是安全团队应该充分思考的话题。安全团队或者监管机构应该能够有更科学地方法论与证据去推动业务部门的整改，和业务部门站在一条战线上开展漏洞修复的工作。

 二、为什么不能用cvss继续评估修复优先级？

国内外传统的安全厂商在评估漏洞的风险等级时，通常引用的CVSS，监管机构或者安全团队下发漏洞通知时也大多依据cvss评分提供漏洞严重等级。

卡内基·梅隆大学教员DeanaSchick写道：“CVSS旨在衡量漏洞在技术上的严重程度，但却被广泛滥用为漏洞优先级分析和风险评估的手段。该评分算法的合理性不足，并且缺乏让组织理解其原本功能所需的透明度。”

CVSS从漏洞造成的风险角度评估漏洞的严重性，但是攻击者从不在意CVSS的评分等级，他们寻找的是可被快速利用，并能产生控制后果的漏洞。因此，漏洞修复者应该转变为攻击者视角看待漏洞话题，才能知道哪些漏洞是真正会被利用的，是需要急迫修复的。从过去每年披露的漏洞中可以看到，真正被利用的漏洞占比极小，安全团队如何找到这些漏洞已经成为了安全运营工作中非常核心的一环。

从X-force的调研报告中可知过去十年中被利用的漏洞的总体百分比约为 9%，大多数披露的漏洞都没有被利用。因此，组织可以通过仅将修复和缓解工作重点放在造成最大风险的那些漏洞上，从而节省大量时间和精力，显着降低风险。

而同时，真正会被利用的漏洞其从披露到利用的平均时间正在急剧缩短，从以往的30天内可能，到现在只需要7天时间漏洞就会被利用。如果无法辨别漏洞需要修复的紧急程度，那么攻击者对漏洞的利用反应具有先发优势。

三、基于风险的漏洞管理技术有望推动修复工作开展

在2020年9月的“Gartner安全风险与管理峰会”上发布的《2020-2021 Top Security Projects》中，首次正式提出“Risk-Based Vulnerability Management”（基于风险的弱点管理）项目，作为TOP 10的第二项，成为了最受关注的安全项目之一。

RBVM站在攻击者视角从风险维度评估弱点是否需要处置，采用资产发现-弱点检测-弱点优先级分析-修复的过程进行弱点整体运营，目的为让用户找到最容易被攻击的弱点从而进行弱点运营管理，真正帮助用户降低被入侵的风险。

RBVM中的核心技术为VPT，即弱点优先级分析，该项技术在Gartner中被放在了安全运营的技术曲线分析，目前处于炒作期最高点。该技术核心是为了让安全运营团队聚焦在10%的最需修复的漏洞上，回答漏洞修复时面临的经典问题：为什么要修复该漏洞？不修复有什么影响？

在弱点优先级技术中，最关键的一点为依靠漏洞情报来计算优先级程度，这要求能将漏洞情报转化为机读指标，并形成优先级计算方法。

安恒的漏洞情报机读的指标包括了5大维度：

1、漏洞是否可被利用

2、漏洞被利用的容易程度

3、漏洞利用的后果：数据丢失、权限提升、拒绝服务等

4、漏洞披露时间

5、漏洞的修复方式：配置、补丁、代码加固等

并且安恒的漏洞研究员团队对于漏洞情报长期持续跟踪与跟新，这决定了情报的质量，如漏洞的利用工具EXP披露情况，漏洞新型利用方式或者与恶意文件的结合等，都在随时影响着漏洞本身的利用程度与影响面。

基于漏洞情报维度，安恒结合了资产的重要性与互联网暴露面分析2个资产维度，综合分析出企业/政府，在当前的网络环境中，最容易被攻击的资产弱点，从而协助用户聚焦最需要优先解决的弱点。

四、 真正聚焦运营10%的可被利用漏洞

基于多维度的漏洞情报与资产重要性，形成的弱点优先级算法在真实的环境中测试，发现可以有效聚焦在网络环境中存在的漏洞。下图为某单位检测的漏洞情况，在使用一般性的弱点检测工具后，通过cvss 的安全等级评估，则该网络区域内有50%的高危紧急漏洞。而在采用了弱点优先级算法后，可以看到在9-10分需要紧急修复的弱点数量，聚焦到15%左右。

分析这15%聚焦后的弱点，发现基本符合漏洞应急处置时重点关注的类型，暴露在互联网上、已有披露漏洞利用情况，漏洞利用较容易，并且利用后会造成提权与数据泄露等严重危害，较为典型的为在互联网中的部分业务系统存在struts2-045，weblogic反序列化远程命令执行等类型漏洞。过去，这类筛选识别是通过安全运营人员的漏洞认知水平开展，具有较大的人员差异性，缺乏统一的公信力，业务部门很难快速接受并迅速整改，往往会有各类质疑与挑战。

五、基于 VPT开展安全运营，有效推动业务部门开展处置工作

无论是在监管单位还是单位内部的安全团队，通过漏洞情报与VPT的能力，一方面可以快速筛选出需要尽快整改的弱点，省去了过去在海量漏洞中验证、取证筛选的环节，高效聚焦。另一方面，在下发安全通知整改时，有统一的标准衡量修复紧急程度，将会让安全处置工作更能被业务部门认知与接受，双方共同合作开展安全建设工作，尤其能让漏洞紧急处置响应流程运营地更高效。

目前安恒已经在多个网络安全监管单位、企事业单位内部的安全团队中应用VPT核心能力，协助安全通报、安全处置、安全考核的运营过程。  

（来源：看雪专栏）

（原文链接：https://zhuanlan.kanxue.com/article-16819.htm）