VPT技術(shù)起源

VPT全稱為Vulnerability prioritization technology，意為弱點優(yōu)先級技術(shù)，被廣泛用于漏洞評估領(lǐng)域。它是全球知名咨詢公司Gartner在2019年的《A Guide to Choosing a Vulnerability Assessment Solution》(Gartner，2019.04)一文中首次提出的。Gartner示意：“到2022年，使用基于風(fēng)險的漏洞管理方法的組織，會減少80%的被攻擊的可能”，認(rèn)為針對漏洞的管理應(yīng)該以縮小實際被攻擊可能性為根本目的。

在Gartner的標(biāo)準(zhǔn)定義中，對VPT提了以下技術(shù)點：

• VA telemetry，即漏洞評估測試，主要是指基礎(chǔ)的漏洞數(shù)據(jù)提供和目標(biāo)檢測方式，對目標(biāo)系統(tǒng)進(jìn)行漏洞檢測和安全性危害評價;

•Asset criticality context即資產(chǎn)重要性關(guān)系，主要是指針對弱點所在的資產(chǎn)，站在非安全視角評估資產(chǎn)重要性以納入弱點影響評價，廣義資產(chǎn)包含服務(wù)器、網(wǎng)站業(yè)務(wù)、接口、IoT設(shè)備等;

• Environment context即環(huán)境關(guān)系，基于網(wǎng)絡(luò)配置情況、安全防御情況等評價弱點的影響面和損失價值;

• Multiple threat intelligence即海量威脅情報，這里的情報不是威脅情報，主要是弱點的情報信息，包括漏洞嚴(yán)重性評分 (CVSS)、修復(fù)的難易程度、漏洞的發(fā)布日期、易受攻擊的軟件項目的流行程度以及發(fā)現(xiàn)漏洞的應(yīng)用程序類型等。

VPT技術(shù)的本土化思考

VPT技術(shù)的主要目的是在有限的時間內(nèi)，盡可能多的降低被攻擊的風(fēng)險，就像在降低SoC/SIEM的無效告警一樣，我們需要從威脅、影響、可修復(fù)性三個方面對漏洞處理優(yōu)先級排序，比漏洞檢測更進(jìn)一步的實現(xiàn)了基于風(fēng)險的弱點管理。但從VPT技術(shù)落地的角度而言，我們需要更多的考慮如何將它本土化。

VPT技術(shù)關(guān)注重點不是漏洞，而是攻擊面。它是一種動態(tài)對抗思想，從防守角度在一定時間范圍內(nèi)，最大限度的縮小已有攻擊面可能帶來的損失。在本土化背景下，該思想的落地場景主要在于攻防演練和關(guān)基保護(hù)等需要真實防范攻擊的安全場景，其中VPT的價值不僅是降低工時和提升效率，更要兼顧考慮指導(dǎo)安全響應(yīng)和避免安全責(zé)任這兩項附加價值。VPT應(yīng)用在國內(nèi)不得不考慮以下幾點：

•VPT需要站在業(yè)務(wù)角度進(jìn)行評價

在評價漏洞時加入對業(yè)務(wù)影響性，并將評價的關(guān)鍵因素呈現(xiàn)出來，會使得業(yè)務(wù)部門對安全部門提出的處置優(yōu)先級更易理解。該評價不是簡單的根據(jù)漏洞所在資產(chǎn)進(jìn)行，而是需要更具象到漏洞可能造成的損失。

•VPT需要考慮到國內(nèi)老舊信息資產(chǎn)響應(yīng)實操性的問題

我國IT數(shù)字化建設(shè)發(fā)展極為迅速，但由于一些歷史原因積累了較多老舊的信息資產(chǎn)，這些資產(chǎn)的漏洞修補(bǔ)會比較困難。如果不考慮漏洞的可修復(fù)性，反而會給業(yè)務(wù)部門增加很多負(fù)擔(dān)，所以VPT需要建立對可修復(fù)性的建議和標(biāo)記。

•VPT需要符合中國的網(wǎng)絡(luò)安全相關(guān)規(guī)定

應(yīng)用VPT技術(shù)對弱點進(jìn)行評價時需要考慮我國的相關(guān)規(guī)定，如《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類分級指南》、《GB/T 20984-2007信息安全技術(shù) 信息安全風(fēng)險評 估規(guī)范》。在《GB/T 30279-2020 網(wǎng)絡(luò)安全漏洞分類分級指南》中詳細(xì)定義了漏洞指標(biāo)類分級、漏洞技術(shù)分級、漏洞綜合分級的方法對漏洞進(jìn)行評價，包括不限于被利用性指標(biāo)、影響程度指標(biāo)等。

VPT技術(shù)的本土化實踐

VPT技術(shù)雖然一經(jīng)推出即受到行業(yè)領(lǐng)先企業(yè)的追捧，但在國內(nèi)的落地與實踐并未展開。直到2020年，由華云安參與制定的《信息安全技術(shù)—網(wǎng)絡(luò)安全漏洞分類分級指南》(GB/T 30279-2020)正式發(fā)布，結(jié)合了《信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范》(GB/T 20984-2007)的風(fēng)險評估理念，為我國基于風(fēng)險進(jìn)行漏洞的評級和管理提供了本土化依據(jù)和方法。

華云安在VPT技術(shù)實踐中，運用多種技術(shù)手段提高評價數(shù)據(jù)維度與精度，提高實戰(zhàn)攻防場景下VPT技術(shù)的應(yīng)用效果。

•構(gòu)建評價因子的數(shù)據(jù)模型

弱點優(yōu)先級評價技術(shù)就是安全弱點發(fā)展成安全事件的可能性。在此基礎(chǔ)上，華云安構(gòu)建了漏洞利用性評價、漏洞影響面評價、漏洞事件可能性評價等場景算法。

漏洞利用性評價基于漏洞確信度、訪問路徑、環(huán)境要求、應(yīng)用權(quán)限和交互函數(shù)等元數(shù)據(jù)構(gòu)造響應(yīng)的數(shù)據(jù)模型。

漏洞影響面評價主要包括資產(chǎn)重要性(ACR)評價及漏洞的危害性評價。從資產(chǎn)角度收集包括資產(chǎn)的流量間訪問關(guān)系、業(yè)務(wù)敏感請求，支持關(guān)聯(lián)設(shè)備類型、網(wǎng)絡(luò)區(qū)域等多類數(shù)據(jù)對資產(chǎn)的重要性進(jìn)行評價，ACR數(shù)值越高，則資產(chǎn)價值量越大;漏洞危害性評價則更多依賴漏洞自身危害性關(guān)系、漏洞與攻擊事件關(guān)聯(lián)數(shù)量、攻擊事件影響等

漏洞事件可能性評價目前包括網(wǎng)絡(luò)曝光度評價、事件關(guān)聯(lián)統(tǒng)計等

•建設(shè)全量漏洞情報庫

除此之外，華云安面向公網(wǎng)捕獲威脅與漏洞情報，通過關(guān)鍵詞和知識組構(gòu)造底層知識圖譜，依賴圖譜梳理漏洞cvss、首次發(fā)布時間、公開利用事件、公布PoC、Exp等多個底層數(shù)據(jù)間的關(guān)聯(lián)關(guān)系，用于模型計算。

傳統(tǒng)的漏洞優(yōu)先級大多采用CVSS評分進(jìn)行評估，而這樣“重漏洞輕資產(chǎn)”的評估方式則導(dǎo)致結(jié)果過于片面。任何漏洞只有依存在實體或非實體的資產(chǎn)上才有價值。因此華云安首創(chuàng)了基于風(fēng)險的優(yōu)先級評估方法，方法分為資產(chǎn)維度和威脅維度：資產(chǎn)維度包含了“設(shè)備類型、設(shè)備能力、設(shè)備作用三個子項的評分;而威脅維度則會按照網(wǎng)絡(luò)曝光度、資產(chǎn)暴露度、資產(chǎn)漏洞等級進(jìn)行評分，所有的評分將采用深度學(xué)習(xí)模式進(jìn)行動態(tài)調(diào)整，深度學(xué)習(xí)的融合為算法提供了無限的演進(jìn)性，隨著時間的推移使每個企業(yè)都能夠擁有適合自身的優(yōu)先級評估方式，使計算結(jié)果更加落地。

風(fēng)險評估指標(biāo)

華云安基于大數(shù)據(jù)和知識圖譜架構(gòu)自主構(gòu)建了一套面向企業(yè)客戶的威脅與漏洞管理系統(tǒng)——靈洞。靈洞根據(jù)優(yōu)先級算法對漏洞進(jìn)行分類分級，同時結(jié)合客戶的核心業(yè)務(wù)，為客戶指出漏洞影響業(yè)務(wù)的范圍和其產(chǎn)生的危害后果，告知其相應(yīng)解決方案，滿足了海量數(shù)據(jù)的快速關(guān)聯(lián)和分析檢索的使用需求，幫助客戶關(guān)注“真正的風(fēng)險”， 為漏洞精準(zhǔn)識別和安全風(fēng)險發(fā)現(xiàn)提供助力。

靈洞威脅與漏洞管理系統(tǒng)

免責(zé)聲明：市場有風(fēng)險，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。