安全的本质是动态对抗,将其映射到漏洞管理领域就是漏洞不断产生和不断快速响应的过程。在有限资源下,实现投入的回报收益最大化是漏洞管理的核心目标。为了达成该目标,并将合规驱动转化为攻防实战驱动安全管理工作,我们引进VPT技术应用于日常漏洞管理工作体系建设。本文将就该技术实践中的思考和过程与大家分享。
VPT技术起源
VPT全称为Vulnerability prioritization technology,意为弱点优先级技术,被广泛用于漏洞评估领域。它是全球知名咨询公司Gartner在2019年的《A Guide to Choosing a Vulnerability Assessment Solution》(Gartner,2019.04)一文中首次提出的。Gartner示意:“到2022年,使用基于风险的漏洞管理方法的组织,会减少80%的被攻击的可能”,认为针对漏洞的管理应该以缩小实际被攻击可能性为根本目的。
在Gartner的标准定义中,对VPT提了以下技术点:
• VA telemetry,即漏洞评估测试,主要是指基础的漏洞数据提供和目标检测方式,对目标系统进行漏洞检测和安全性危害评价;
•Asset criticality context即资产重要性关系,主要是指针对弱点所在的资产,站在非安全视角评估资产重要性以纳入弱点影响评价,广义资产包含服务器、网站业务、接口、IoT设备等;
• Environment context即环境关系,基于网络配置情况、安全防御情况等评价弱点的影响面和损失价值;
• Multiple threat intelligence即海量威胁情报,这里的情报不是威胁情报,主要是弱点的情报信息,包括漏洞严重性评分 (CVSS)、修复的难易程度、漏洞的发布日期、易受攻击的软件项目的流行程度以及发现漏洞的应用程序类型等。
VPT技术的本土化思考
VPT技术的主要目的是在有限的时间内,尽可能多的降低被攻击的风险,就像在降低SoC/SIEM的无效告警一样,我们需要从威胁、影响、可修复性三个方面对漏洞处理优先级排序,比漏洞检测更进一步的实现了基于风险的弱点管理。但从VPT技术落地的角度而言,我们需要更多的考虑如何将它本土化。
VPT技术关注重点不是漏洞,而是攻击面。它是一种动态对抗思想,从防守角度在一定时间范围内,最大限度的缩小已有攻击面可能带来的损失。在本土化背景下,该思想的落地场景主要在于攻防演练和关基保护等需要真实防范攻击的安全场景,其中VPT的价值不仅是降低工时和提升效率,更要兼顾考虑指导安全响应和避免安全责任这两项附加价值。VPT应用在国内不得不考虑以下几点:
•VPT需要站在业务角度进行评价
在评价漏洞时加入对业务影响性,并将评价的关键因素呈现出来,会使得业务部门对安全部门提出的处置优先级更易理解。该评价不是简单的根据漏洞所在资产进行,而是需要更具象到漏洞可能造成的损失。
•VPT需要考虑到国内老旧信息资产响应实操性的问题
我国IT数字化建设发展极为迅速,但由于一些历史原因积累了较多老旧的信息资产,这些资产的漏洞修补会比较困难。如果不考虑漏洞的可修复性,反而会给业务部门增加很多负担,所以VPT需要建立对可修复性的建议和标记。
•VPT需要符合中国的网络安全相关规定
应用VPT技术对弱点进行评价时需要考虑我国的相关规定,如《GB/T 30279-2020 网络安全漏洞分类分级指南》、《GB/T 20984-2007信息安全技术 信息安全风险评 估规范》。在《GB/T 30279-2020 网络安全漏洞分类分级指南》中详细定义了漏洞指标类分级、漏洞技术分级、漏洞综合分级的方法对漏洞进行评价,包括不限于被利用性指标、影响程度指标等。
VPT技术的本土化实践
VPT技术虽然一经推出即受到行业领先企业的追捧,但在国内的落地与实践并未展开。直到2020年,由华云安参与制定的《信息安全技术—网络安全漏洞分类分级指南》(GB/T 30279-2020)正式发布,结合了《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)的风险评估理念,为我国基于风险进行漏洞的评级和管理提供了本土化依据和方法。
华云安在VPT技术实践中,运用多种技术手段提高评价数据维度与精度,提高实战攻防场景下VPT技术的应用效果。
•构建评价因子的数据模型
弱点优先级评价技术就是安全弱点发展成安全事件的可能性。在此基础上,华云安构建了漏洞利用性评价、漏洞影响面评价、漏洞事件可能性评价等场景算法。
漏洞利用性评价基于漏洞确信度、访问路径、环境要求、应用权限和交互函数等元数据构造响应的数据模型。
漏洞影响面评价主要包括资产重要性(ACR)评价及漏洞的危害性评价。从资产角度收集包括资产的流量间访问关系、业务敏感请求,支持关联设备类型、网络区域等多类数据对资产的重要性进行评价,ACR数值越高,则资产价值量越大;漏洞危害性评价则更多依赖漏洞自身危害性关系、漏洞与攻击事件关联数量、攻击事件影响等
漏洞事件可能性评价目前包括网络曝光度评价、事件关联统计等
•建设全量漏洞情报库
除此之外,华云安面向公网捕获威胁与漏洞情报,通过关键词和知识组构造底层知识图谱,依赖图谱梳理漏洞cvss、首次发布时间、公开利用事件、公布PoC、Exp等多个底层数据间的关联关系,用于模型计算。
传统的漏洞优先级大多采用CVSS评分进行评估,而这样“重漏洞轻资产”的评估方式则导致结果过于片面。任何漏洞只有依存在实体或非实体的资产上才有价值。因此华云安首创了基于风险的优先级评估方法,方法分为资产维度和威胁维度:资产维度包含了“设备类型、设备能力、设备作用三个子项的评分;而威胁维度则会按照网络曝光度、资产暴露度、资产漏洞等级进行评分,所有的评分将采用深度学习模式进行动态调整,深度学习的融合为算法提供了无限的演进性,随着时间的推移使每个企业都能够拥有适合自身的优先级评估方式,使计算结果更加落地。
风险评估指标
华云安基于大数据和知识图谱架构自主构建了一套面向企业客户的威胁与漏洞管理系统——灵洞。灵洞根据优先级算法对漏洞进行分类分级,同时结合客户的核心业务,为客户指出漏洞影响业务的范围和其产生的危害后果,告知其相应解决方案,满足了海量数据的快速关联和分析检索的使用需求,帮助客户关注“真正的风险”, 为漏洞精准识别和安全风险发现提供助力。
灵洞威胁与漏洞管理系统
