关于漏洞:漏洞优先级技术VPT导论

1. 背景介绍

在 2020 年 9 月的“Gartner 平安危险与治理峰会”上公布的《2020-2021 Top Security Projects》中，首次正式提出“Risk-Based Vulnerability Management”（基于危险的弱点治理）我的项目，作为 TOP 10 的第二项（在 2018 和 2019 年叫“合乎 CARTA 方法论的弱点治理我的项目”，于 2020 年进行了从新定义）。

破绽优先级技术（VPT）导论
其我的项目关键点形容是：要意识到永不可能 100% 打补丁；和 IT 运维联合行动（发明双赢）；利用现有的扫描数据和流程；用 VPT（“Vulnerability prioritization technology”破绽优先级技术）工具来加强弱点评估以更好的确定优先级。

为了让形容更精确，对“Vulnerability”进一步做解释。在信息安全畛域，它蕴含的意义有：破绽、弱点、脆弱性三个。

• 破绽：在硬件、软件、协定的具体实现或零碎安全策略上存在的缺点，从而能够使攻击者可能在未受权的状况下拜访或毁坏零碎；
• 弱点：依照 Tenable 的形容，它蕴含破绽，以及除破绽以外的配置不当、弱口令、信息泄露等等；
• 脆弱性：依照 GB/T 20984 的形容，它蕴含技术脆弱性和治理脆弱性，也就是蕴含了上述提到的弱点以及 ISMS 中蕴含的治理平安项。

这里提出以上三点的起因是，在咱们钻研了大量材料后发现，尽管在 Gartner 和一些其余的计划中，都会提到“VPT”，然而它有时候代表的是“破绽优先级技术”，而有时候代表的是“弱点优先级技术”（幸好它们简直思考的都是技术平安，而没有探讨“综合脆弱性”的问题，让这个话题略微简略了一些）。

在本文撰写时，因为国内对该概念以及实现尚处于萌芽阶段，所以本文所探讨的内容，将限定在“破绽优先级”。而更狭义的“弱点优先级”会在之后的文章中另做探讨。

2.VPT 的行业认知

Gartner 在 2020 年 9 月公布了“基于危险的弱点治理”我的项目之后，又别离于 2021 年 6 月 25 日公布了“Market Guide for Vulnerability Assessment”（破绽评估市场指南），以及在 2021 年 7 月 23 日公布了“Hype Cycle for Security Operations, 2021”（2021 平安经营技术成熟度模型）。

在《破绽评估市场指南》中，提出了明确的倡议：“利用破绽优先级技术（VPT）解决方案施行基于危险的破绽治理办法，将破绽后果带到对立平台以进行优先级排序和解决（例如修补），进步平安经营效率”。并且对于 VPT 的技术要求进行了定义，咱们在下述技术章节中将进行形容。

在《平安经营技术成熟度模型》中咱们能够看出，VPT 技术是一个新兴的，并且正处于“最具期待性”的巅峰技术，其间隔被市场广泛认可以及产品成熟期，还须要大概 2 - 5 年的工夫。

依据调研，该技术的收益评级为：高；市场渗透率为：20%-50%。

很多官网给出的定义和方法论为了严谨性，都写的过于冗余和简单。咱们用最接地气的说法就是：

在平安经营工作中，想修复所有的破绽简直不可能，VPT 是采纳某些办法和流程，动静的将须要修复的破绽进行优先级排序和流程优化，进步修复效率，以达到用起码的工夫实现最好的成果。

3.VPT 倒退的偶然性

WhiteHat Security 在其《利用平安状态纵览》钻研报告中显示：截止 2021 年 5 月，全美公共事业部门均匀破绽修复工夫在 205 天，全副利用中超过 66% 存在至多一个可利用的凋谢破绽；制造业 60% 以上的利用存在超过 365 天的破绽裸露窗口期；金融业约 40% 的利用具备 365 天的破绽裸露窗口期。

咱们有理由置信，国内的整体平安现状并不会比美国强多少（或者并不会比美国强）。对于破绽的检出和处理的话题、技术和产品，在国内曾经超过 20 年了，在美国的工夫更长。为什么随着平安技术越来越成熟，平安产品的品类越来越多，破绽修复工夫却越来越长，平安经营的工作量反而增多了，成果反而变差了？

咱们认为，次要有以下 3 个方面的起因：

1. IT 行业的技术和利用更加丰盛。在传统互联网时代，大部分破绽集中在操作系统、中间件、业务利用等方面，而随着挪动互联网、云技术、IOT 等的遍及和利用，破绽影响的范畴成倍数的减少了；
2. 破绽的数量增长迅速。以美国国家破绽库（NVD）在 2017 年到 2019 年公布的后果来看，3 年工夫里破绽从 9837 个 / 年增长到 16500 个 / 年。我国的国家信息安全破绽共享平台（CNVD）显示，2020 年破绽总数量为 20239 个；
3. 尽管平安产品和技术品种减少了，然而很多并没有聚焦到如何间接克制黑客攻击。

我国为了增强在破绽治理方面的力度，切实有效的间接防备国内外黑客攻击，在 2021 年 7 月 12 日由工业和信息化部、国家互联网信息办公室、公安部三部门联结公布了《网络产品安全漏洞治理规定》，并于 2021 年 9 月 1 日实施。这是我国第一次将破绽治理和法律责罚联合在一起公布的文件，这也体现了网络安全中进行高效破绽治理的重要性，标记着我国在破绽治理方面将进行强力度的整改。

只管《规定》中并未对操作细节和技术要求进行定义，然而曾经明确阐明了主体责任和相干罚则。

在日益成熟的 DevSecOps 畛域，美国权威开源软件机构 WhiteSource 公布了《DevSecOps 深度剖析报告——平安 vs. 开发: DevSecOps 的决战》，考察显示，目前尽管大部分成熟的机构都在 DevSecOps 畛域有所建树，然而依然存在以下四个次要问题：

咱们能够看到，在技术关键点上，破绽优先级的确定以及相干流程的欠缺，是影响 DevSecOps 成熟的次要问题。以下为报告援用：

平安左移是 DevSecOps 的重要局部之一，而平安左移的同时，白盒检测等相干的平安检测产品会爆出大量开发阶段的安全漏洞，并且无论是白盒还是黑盒平安检测，检测的工具越丰盛、伎俩越多，破绽数量就越丰盛。然而如上所述，DevSecOps 遇到的第一个问题就是“大多数平安人员和开发人员都感到被迫要在安全性上斗争，以满足最初交付期限的要求”。产品的 Deadline 是开发人员无奈冲破的，所以确定破绽优先级，并解决最须要解决的问题就势在必行。

4.VPT 的原理和实现

通过综合钻研 Gartner 的各类技术报告和方法论，以及 Tenable 和 WhiteSource 等组织的报告、钻研后果和解决方案，咱们认为在 VPT（破绽优先级）的产品实现上应该做到以下几点：

Step1：建设破绽情报库并进行动静的破绽应急响应

破绽情报库并非破绽库，目前很多人将其一概而论。破绽情报库应该蕴含至多 4 方面的内容：

1. 较欠缺的破绽库，其中至多应蕴含：CVE、CWE、NVD、CNVD、CNNVD 等惯例破绽库；
2. 全国或寰球攻击面测绘数据；
3. 在朝 EXP 库；
4. 破绽开源情报。

对于破绽情报要进行动态分析，尤其要关注 0day 和 1day 开源情报。对在朝 EXP 的继续技术剖析、0day 和 1day 开源情报的破绽剖析，以及这些破绽在全国和寰球范畴的影响度和攻打可能性的剖析。

这些数据将是破绽优先级排序的重要参数之一。

在这方面，Tenable 给出了很好的示范。

一方面，他们对于在朝破绽可应用状况进行了统计分析：

在每年新发现的近 20000 个破绽中，即便平安团队修补了所有高危和重大破绽，也不过只修复了 24% 的可利用破绽，而这更意味着，平安团队有 76% 的工夫耗费在短期内简直无风险的破绽上。更蹩脚的是，有 44% 的短期可被利用的破绽被评为中低危险，而很可能被疏忽掉。

这里的起因正如卡内基梅隆大学软件工程研究所所述：CVSS 旨在辨认破绽的技术严重性。相同，人们仿佛想晓得的是，破绽或缺点给他们带来的危险，或者是他们面对破绽应该有如何的反应速度。

惋惜的是，目前简直所有国内外破绽扫描报告、浸透测试报告或破绽评级都是根据这个办法定义的。

另一方面，Tenable 在通过对 20 万亿破绽情报等数据进行人工剖析和机器学习后认为平安团队应该优先关注的破绽占所有破绽的 3% 左右。

Step2：建设破绽优先级模型

3% 的破绽须要优先解决，也就意味着，平安团队在破绽优先级排序技术的帮忙下，仅须要耗费比以前少的多的工夫和精力，就能够使平安达到一个较高的程度，能够将其余工夫和精力破费在更紧急和须要实现的工作上。

Step3：绘制残缺的网络资产攻击面

破绽优先级并不是针对某一部分 IT 资产，而应该是企业或组织外部所有管辖的 IT 资产。传统认知的 IT 资产，包含服务器、数据库、中间件、业务利用等，而当初咱们应该关注的，除了传统认知的 IT 资产以外，还应该蕴含挪动 APP、小程序、云端资产、容器、IOT 设施等等。

尤其是要重点关注的还应该包含两类：一类是影子资产的存在和检出，因为无论是实在的黑客攻击，还是在护网等我的项目中，影子资产往往是最容易被平安团队疏忽和最易受到攻打的；另一类是安全设备自身，这也是非常容易被疏忽的，然而从近几年护网和 1day 事件来看，安全设备自身呈现问题不足为奇，并且如果呈现了问题，往往导致整体安全性骤然升高。

绘制残缺的网络资产攻击面，是实现 VPT 场景化解决方案的辅助伎俩。当初的技术方向属于“网络空间测绘”或“CAASM（网络资产攻击面治理）”。这个能力能够是 VPT 产品的自有能力，也能够是集成相干产品的能力。

Step4：适应 DevSecOps 并具备自动化能力

VPT 另外一个外围能力要求，就是要“利用现有破绽扫描工具和各种破绽数据”，这不仅仅是 Gartner 方法论中提出的要求，而是只有做到了这个要求，能力更无效的将 VPT 技术整合在 DevSecOps 流程中。它应该蕴含至多 3 方面的能力：

1. 合乎 DevSecOps 和组织的根本流程，并能够在某些水平上根据组织的要求进行定制；
2. 可能集成各类破绽数据源，包含：网络扫描器、Web 扫描器、APP 扫描器、白盒审计、浸透测试、众测数据（甚至能够自建企业 SRC）等等；
3. 对于组织自开发的业务利用，应该具备破绽算法和调优的能力（能够思考应用机器学习），因为企业自开发的业务利用发现的一些破绽，往往很难匹配到通用破绽中。

此外，Gartner 对于 VPT 的要求中提到，其应该具备肯定的 SOAR 能力，也就是说，它应该具备破绽相干产品的自动化调用和具备肯定的流程编排能力。

5. 对于 VPT 的期待

VPT（破绽优先级技术）是一个破绽治理（VM）畛域的微翻新技术。目前国内上对于 VPT 的认可度正突飞猛进，但国内尚处于萌芽阶段，作为信息安全从业者，咱们有任务对该技术进行推广和实现。咱们是国内最早在该技术方向进行产品研发和计划落地的公司，并于往年 7 月在“ISC 2021 互联网安全大会”上进行了主题演讲和技术分享。心愿它们可能无效的进步平安工作的效率，晋升企业平安经营的成果。