邮发代号 2-786
征订热线:010-82341063
文 | 杭州安恒信息技术股份有限公司 金成强 郑国祥在当今数字化的环境中,漏洞管理是网络安全的一大挑战。要有效地进行漏洞管理,必须综合考虑漏洞的复杂性、多样性、不断演变的特点以及修复可能产生的影响等因素。在过往的经验中,大部分具有公开编号的漏洞都可以通过通用漏洞评分系统(CVSS)来计算危害评分。例如,当前的 CVSS3.1 评分体系可以针对漏洞产生的后果从完整性、机密性和可用性方面进行评估。在最新的 CVSS4.0 中,引入了对漏洞持久性危害的评估。但总体而言,CVSS 评分是一种相对静态的固定评分方式,许多企业产品仅通过 CVSS 评分来简单地确定漏洞处置的优先级,即理论上危害最大的漏洞应该被最先处置。然而,在实际应用中并非如此。CVSS 评分系统在实践中暴露出了一系列不足,涉及技术层面、流程和人为因素。
首先,CVSS 评分系统存在着局限性。CVSS 评分主要基于漏洞的技术细节和特征来评估漏洞的危害程度,往往无法全面考虑漏洞可能在特定环境下引发的实际风险。例如,某些看似普通的漏洞在特定的组织或系统中可能会导致灾难性后果,然而 CVSS 评分很难评价这种情况。其次,固定的资产权重引入了一种静态的评估机制,无法灵活地适应不同环境和情境下的漏洞处置需求。这导致一些关键漏洞可能被低估或高估,从而影响了漏洞修复的优先级和紧急性。最后,传统的漏洞处置方法往往依赖于人工经验和手工操作,缺乏自动化和智能化的支持。这导致漏洞管理的效率低下,尤其是在面对大规模漏洞爆发时,人工处置的成本和风险都会大大增加。在实践中,企业常常采用基于经验或推断的简单权重设置方式,例如将关键资产权重设置为1,普通资产设置为 0.5 等。然而,这种方法存在着严重的局限性,因为它无法有效地解决不同资产和漏洞之间的优先级关系,导致漏洞处置工作难以精准地对关键资产进行保护。另外,当新漏洞被披露时,通常漏洞的信息是不完整的。例如,可能只有漏洞的基本描述和影响程度,而缺乏详细的修复建议或影响评估。在信息不完整的情况下,很难准确判断漏洞的严重程度和紧急性,从而影响到漏洞处置的效率和准确性。因此,传统的漏洞处置方法在面对新披露的漏洞时往往会遇到困难,需要更加智能和灵活的方法来处理。为了弥补传统漏洞处置优先级评估方法的不足,迫切需要引入先进技术的支持,并重视资产环境数据。
一是引入大型语言模型技术。在公开数据源中漏洞信息不完整的情况下,同时缺乏其他标准格式数据源来补充漏洞信息时,首先,我们可以利用大型语言模型从非标准数据源(论坛、公众号、页面、图片等)中提取漏洞信息,并将其转化为标准信息格式,作为信息的补充。大模型通过理解非标准数据源的上下文和语义,能够生成可能的补充数据,填补漏洞数据的空白,并提供更全面、更准确的信息。其次,大模型能够基于过去类似的漏洞数据进行更加合理的推理,如相同类型漏洞的 CVSS 评分和向量可能趋于一致。在漏洞公开披露初期,许多字段尚未被厂商或机构评定数值,大模型可以有效地提供补充信息(提供更全面、更准确的信息),帮助安全专业人员更有效地识别和理解漏洞的潜在威胁,为他们提供更好的决策支持。此外,在漏洞披露的初期和中期阶段,安全专业人员关注如何修复和防御漏洞。然而,网络上充斥着大量的错误信息或者混乱的引用链接,大模型可以分析这些链接的内容,识别出潜在的漏洞修复方法,并提供高度可用的修复方案。这种方式不仅可以加快漏洞修复的速度,还可以提高修复的准确性和效果。例如,当漏洞修复相关的文档或社区讨论提供多种修复方案时,大型语言模型可以帮助安全团队快速筛选出最适合其环境和需求的修复方案,从而降低修复的风险和成本。二是认识到资产环境数据的重要性。资产环境数据在漏洞优先级评估中扮演着至关重要的角色,因为它提供了关于组织资产的关键信息,包括业务价值、位置以及所面临的威胁类型等因素。这些数据帮助安全团队更全面地理解漏洞对组织安全的实际影响,从而更准确地确定漏洞的优先级,并采取相应的处置措施。资产的业务价值是评估漏洞优先级的关键因素之一。不同的资产在组织中扮演着不同的角色,具有不同的重要性和敏感性。例如,核心业务系统、关键数据存储设备和关键基础设施往往具有较高的业务价值,一旦受到漏洞攻击可能对组织造成严重的影响。但是,简单地根据资产重要性是不足以进行充分评估,例如,资产的网络位置也是评估漏洞优先级的重要考量因素。不同位置的资产面临的安全威胁可能有所不同。例如,位于内部网络的资产相对于暴露在公共网络或云端的资产,其面临的外部攻击风险较低。同时,资产所面临的威胁类型也应纳入考量,因为不同类型的漏洞可能导致不同类型的安全威胁。针对上述问题,我们提出了自适应漏洞优先级评估(AVPT)——一种基于大模型预测和资产环境数据的新型动态漏洞处置优先级评估方法。该方法通过结合资产部署环境、资产重要性和漏洞本身的危害程度,重新调整漏洞的危害评分,实现漏洞优先级的动态调整和个性化定制。
该方法利用大模型预测漏洞信息来补充漏洞的其他关键字段,实现漏洞数据自动化填充,并依托这类信息进行漏洞处置优先级评估。这一方法不仅充分发挥了大模型的预测能力,还通过结合客户资产部署环境、资产重要性等因素,实现了漏洞处置优先级的个性化定制。在资产重要性方面,该方法将其分为三级,并基于过往数据采用统计学和函数拟合的方式来获取三级权重系数。这种做法既考虑了资产的重要性,又充分利用了过往数据的价值,为不同资产设置优先级权重,从而个性化调整漏洞评分,使得漏洞处理更加灵活和针对性。同时也充分考虑了资产的网络位置、威胁情报数据以及漏洞被利用情况等因素。通过不断采集网络公开数据并结合大模型的预测能力,实现动态漏洞评分,使得漏洞处置优先级更加准确和灵活,帮助安全团队更好地识别和应对漏洞威胁。新型漏洞处置优先级评估方法为企业更有效地管理漏洞风险和减少安全风险提供了重要支持。有效缩短了漏洞预警时间,使得企业能够更快速地做出响应,制定漏洞修复计划,并及时采取行动,从而提高了整体安全响应能力。另外,针对资产数量较为庞大的客户,这套技术方案也表现出了显著的优势。通过新型漏洞处置优先级评估方法,企业能够快速收敛资产安全隐患,提高了整体安全性和稳定性。这一方法不仅节省了企业大量的时间和资源,还提高了漏洞管理的效率和精度,为企业的安全运营提供了可靠保障。(本文刊登于《中国信息安全》杂志2024年第5期)
分享网络安全知识 强化网络安全意识
欢迎关注《中国信息安全》杂志官方抖音号
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664220600&idx=3&sn=8ab7dfe967aa0d9857026ae5bd59c22f&chksm=8b59c541bc2e4c57954d60c9588e23a0a88aeb0e89dad0c7bc72496b77b2e38f17691a11ab73&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh