在當(dāng)今數(shù)字化的環(huán)境中，漏洞管理是網(wǎng)絡(luò)安全的一大挑戰(zhàn)。要有效地進(jìn)行漏洞管理，必須綜合考慮漏洞的復(fù)雜性、多樣性、不斷演變的特點以及修復(fù)可能產(chǎn)生的影響等因素。

一、當(dāng)前漏洞評分系統(tǒng)的不足

在過往的經(jīng)驗中，大部分具有公開編號的漏洞都可以通過通用漏洞評分系統(tǒng)（CVSS）來計算危害評分。例如，當(dāng)前的 CVSS3.1 評分體系可以針對漏洞產(chǎn)生的后果從完整性、機密性和可用性方面進(jìn)行評估。在最新的 CVSS4.0 中，引入了對漏洞持久性危害的評估。但總體而言，CVSS 評分是一種相對靜態(tài)的固定評分方式，許多企業(yè)產(chǎn)品僅通過 CVSS 評分來簡單地確定漏洞處置的優(yōu)先級，即理論上危害最大的漏洞應(yīng)該被最先處置。然而，在實際應(yīng)用中并非如此。CVSS 評分系統(tǒng)在實踐中暴露出了一系列不足，涉及技術(shù)層面、流程和人為因素。

首先，CVSS 評分系統(tǒng)存在著局限性。CVSS 評分主要基于漏洞的技術(shù)細(xì)節(jié)和特征來評估漏洞的危害程度，往往無法全面考慮漏洞可能在特定環(huán)境下引發(fā)的實際風(fēng)險。例如，某些看似普通的漏洞在特定的組織或系統(tǒng)中可能會導(dǎo)致災(zāi)難性后果，然而 CVSS 評分很難評價這種情況。

其次，固定的資產(chǎn)權(quán)重引入了一種靜態(tài)的評估機制，無法靈活地適應(yīng)不同環(huán)境和情境下的漏洞處置需求。這導(dǎo)致一些關(guān)鍵漏洞可能被低估或高估，從而影響了漏洞修復(fù)的優(yōu)先級和緊急性。

最后，傳統(tǒng)的漏洞處置方法往往依賴于人工經(jīng)驗和手工操作，缺乏自動化和智能化的支持。這導(dǎo)致漏洞管理的效率低下，尤其是在面對大規(guī)模漏洞爆發(fā)時，人工處置的成本和風(fēng)險都會大大增加。在實踐中，企業(yè)常常采用基于經(jīng)驗或推斷的簡單權(quán)重設(shè)置方式，例如將關(guān)鍵資產(chǎn)權(quán)重設(shè)置為1，普通資產(chǎn)設(shè)置為 0.5 等。然而，這種方法存在著嚴(yán)重的局限性，因為它無法有效地解決不同資產(chǎn)和漏洞之間的優(yōu)先級關(guān)系，導(dǎo)致漏洞處置工作難以精準(zhǔn)地對關(guān)鍵資產(chǎn)進(jìn)行保護(hù)。另外，當(dāng)新漏洞被披露時，通常漏洞的信息是不完整的。例如，可能只有漏洞的基本描述和影響程度，而缺乏詳細(xì)的修復(fù)建議或影響評估。在信息不完整的情況下，很難準(zhǔn)確判斷漏洞的嚴(yán)重程度和緊急性，從而影響到漏洞處置的效率和準(zhǔn)確性。因此，傳統(tǒng)的漏洞處置方法在面對新披露的漏洞時往往會遇到困難，需要更加智能和靈活的方法來處理。

二、完善漏洞優(yōu)先級評估的思考

為了彌補傳統(tǒng)漏洞處置優(yōu)先級評估方法的不足，迫切需要引入先進(jìn)技術(shù)的支持，并重視資產(chǎn)環(huán)境數(shù)據(jù)。

一是引入大型語言模型技術(shù)。在公開數(shù)據(jù)源中漏洞信息不完整的情況下，同時缺乏其他標(biāo)準(zhǔn)格式數(shù)據(jù)源來補充漏洞信息時，首先，我們可以利用大型語言模型從非標(biāo)準(zhǔn)數(shù)據(jù)源（論壇、公眾號、頁面、圖片等）中提取漏洞信息，并將其轉(zhuǎn)化為標(biāo)準(zhǔn)信息格式，作為信息的補充。大模型通過理解非標(biāo)準(zhǔn)數(shù)據(jù)源的上下文和語義，能夠生成可能的補充數(shù)據(jù)，填補漏洞數(shù)據(jù)的空白，并提供更全面、更準(zhǔn)確的信息。其次，大模型能夠基于過去類似的漏洞數(shù)據(jù)進(jìn)行更加合理的推理，如相同類型漏洞的 CVSS 評分和向量可能趨于一致。在漏洞公開披露初期，許多字段尚未被廠商或機構(gòu)評定數(shù)值，大模型可以有效地提供補充信息（提供更全面、更準(zhǔn)確的信息），幫助安全專業(yè)人員更有效地識別和理解漏洞的潛在威脅，為他們提供更好的決策支持。此外，在漏洞披露的初期和中期階段，安全專業(yè)人員關(guān)注如何修復(fù)和防御漏洞。然而，網(wǎng)絡(luò)上充斥著大量的錯誤信息或者混亂的引用鏈接，大模型可以分析這些鏈接的內(nèi)容，識別出潛在的漏洞修復(fù)方法，并提供高度可用的修復(fù)方案。這種方式不僅可以加快漏洞修復(fù)的速度，還可以提高修復(fù)的準(zhǔn)確性和效果。例如，當(dāng)漏洞修復(fù)相關(guān)的文檔或社區(qū)討論提供多種修復(fù)方案時，大型語言模型可以幫助安全團(tuán)隊快速篩選出最適合其環(huán)境和需求的修復(fù)方案，從而降低修復(fù)的風(fēng)險和成本。

二是認(rèn)識到資產(chǎn)環(huán)境數(shù)據(jù)的重要性。資產(chǎn)環(huán)境數(shù)據(jù)在漏洞優(yōu)先級評估中扮演著至關(guān)重要的角色，因為它提供了關(guān)于組織資產(chǎn)的關(guān)鍵信息，包括業(yè)務(wù)價值、位置以及所面臨的威脅類型等因素。這些數(shù)據(jù)幫助安全團(tuán)隊更全面地理解漏洞對組織安全的實際影響，從而更準(zhǔn)確地確定漏洞的優(yōu)先級，并采取相應(yīng)的處置措施。

資產(chǎn)的業(yè)務(wù)價值是評估漏洞優(yōu)先級的關(guān)鍵因素之一。不同的資產(chǎn)在組織中扮演著不同的角色，具有不同的重要性和敏感性。例如，核心業(yè)務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)存儲設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施往往具有較高的業(yè)務(wù)價值，一旦受到漏洞攻擊可能對組織造成嚴(yán)重的影響。但是，簡單地根據(jù)資產(chǎn)重要性是不足以進(jìn)行充分評估，例如，資產(chǎn)的網(wǎng)絡(luò)位置也是評估漏洞優(yōu)先級的重要考量因素。不同位置的資產(chǎn)面臨的安全威脅可能有所不同。例如，位于內(nèi)部網(wǎng)絡(luò)的資產(chǎn)相對于暴露在公共網(wǎng)絡(luò)或云端的資產(chǎn)，其面臨的外部攻擊風(fēng)險較低。同時，資產(chǎn)所面臨的威脅類型也應(yīng)納入考量，因為不同類型的漏洞可能導(dǎo)致不同類型的安全威脅。

三、通過 AVPT 實現(xiàn)動態(tài)漏洞優(yōu)先級評估方法

針對上述問題，我們提出了自適應(yīng)漏洞優(yōu)先級評估（AVPT）——一種基于大模型預(yù)測和資產(chǎn)環(huán)境數(shù)據(jù)的新型動態(tài)漏洞處置優(yōu)先級評估方法。該方法通過結(jié)合資產(chǎn)部署環(huán)境、資產(chǎn)重要性和漏洞本身的危害程度，重新調(diào)整漏洞的危害評分，實現(xiàn)漏洞優(yōu)先級的動態(tài)調(diào)整和個性化定制。

該方法利用大模型預(yù)測漏洞信息來補充漏洞的其他關(guān)鍵字段，實現(xiàn)漏洞數(shù)據(jù)自動化填充，并依托這類信息進(jìn)行漏洞處置優(yōu)先級評估。這一方法不僅充分發(fā)揮了大模型的預(yù)測能力，還通過結(jié)合客戶資產(chǎn)部署環(huán)境、資產(chǎn)重要性等因素，實現(xiàn)了漏洞處置優(yōu)先級的個性化定制。

在資產(chǎn)重要性方面，該方法將其分為三級，并基于過往數(shù)據(jù)采用統(tǒng)計學(xué)和函數(shù)擬合的方式來獲取三級權(quán)重系數(shù)。這種做法既考慮了資產(chǎn)的重要性，又充分利用了過往數(shù)據(jù)的價值，為不同資產(chǎn)設(shè)置優(yōu)先級權(quán)重，從而個性化調(diào)整漏洞評分，使得漏洞處理更加靈活和針對性。同時也充分考慮了資產(chǎn)的網(wǎng)絡(luò)位置、威脅情報數(shù)據(jù)以及漏洞被利用情況等因素。通過不斷采集網(wǎng)絡(luò)公開數(shù)據(jù)并結(jié)合大模型的預(yù)測能力，實現(xiàn)動態(tài)漏洞評分，使得漏洞處置優(yōu)先級更加準(zhǔn)確和靈活，幫助安全團(tuán)隊更好地識別和應(yīng)對漏洞威脅。

新型漏洞處置優(yōu)先級評估方法為企業(yè)更有效地管理漏洞風(fēng)險和減少安全風(fēng)險提供了重要支持。有效縮短了漏洞預(yù)警時間，使得企業(yè)能夠更快速地做出響應(yīng)，制定漏洞修復(fù)計劃，并及時采取行動，從而提高了整體安全響應(yīng)能力。

另外，針對資產(chǎn)數(shù)量較為龐大的客戶，這套技術(shù)方案也表現(xiàn)出了顯著的優(yōu)勢。通過新型漏洞處置優(yōu)先級評估方法，企業(yè)能夠快速收斂資產(chǎn)安全隱患，提高了整體安全性和穩(wěn)定性。這一方法不僅節(jié)省了企業(yè)大量的時間和資源，還提高了漏洞管理的效率和精度，為企業(yè)的安全運營提供了可靠保障。

（本文刊登于《中國信息安全》雜志2024年第5期）