在當(dāng)今數(shù)字化的環(huán)境中，漏洞管理是網(wǎng)絡(luò)安全的一大挑戰(zhàn)。要有效地進(jìn)行漏洞管理，必須綜合考慮漏洞的復(fù)雜性、多樣性、不斷演變的特點(diǎn)以及修復(fù)可能產(chǎn)生的影響等因素。

一、當(dāng)前漏洞評(píng)分系統(tǒng)的不足

在過(guò)往的經(jīng)驗(yàn)中，大部分具有公開編號(hào)的漏洞都可以通過(guò)通用漏洞評(píng)分系統(tǒng)（CVSS）來(lái)計(jì)算危害評(píng)分。例如，當(dāng)前的 CVSS3.1 評(píng)分體系可以針對(duì)漏洞產(chǎn)生的后果從完整性、機(jī)密性和可用性方面進(jìn)行評(píng)估。在最新的 CVSS4.0 中，引入了對(duì)漏洞持久性危害的評(píng)估。但總體而言，CVSS 評(píng)分是一種相對(duì)靜態(tài)的固定評(píng)分方式，許多企業(yè)產(chǎn)品僅通過(guò) CVSS 評(píng)分來(lái)簡(jiǎn)單地確定漏洞處置的優(yōu)先級(jí)，即理論上危害最大的漏洞應(yīng)該被最先處置。然而，在實(shí)際應(yīng)用中并非如此。CVSS 評(píng)分系統(tǒng)在實(shí)踐中暴露出了一系列不足，涉及技術(shù)層面、流程和人為因素。

首先，CVSS 評(píng)分系統(tǒng)存在著局限性。CVSS 評(píng)分主要基于漏洞的技術(shù)細(xì)節(jié)和特征來(lái)評(píng)估漏洞的危害程度，往往無(wú)法全面考慮漏洞可能在特定環(huán)境下引發(fā)的實(shí)際風(fēng)險(xiǎn)。例如，某些看似普通的漏洞在特定的組織或系統(tǒng)中可能會(huì)導(dǎo)致災(zāi)難性后果，然而 CVSS 評(píng)分很難評(píng)價(jià)這種情況。

其次，固定的資產(chǎn)權(quán)重引入了一種靜態(tài)的評(píng)估機(jī)制，無(wú)法靈活地適應(yīng)不同環(huán)境和情境下的漏洞處置需求。這導(dǎo)致一些關(guān)鍵漏洞可能被低估或高估，從而影響了漏洞修復(fù)的優(yōu)先級(jí)和緊急性。

最后，傳統(tǒng)的漏洞處置方法往往依賴于人工經(jīng)驗(yàn)和手工操作，缺乏自動(dòng)化和智能化的支持。這導(dǎo)致漏洞管理的效率低下，尤其是在面對(duì)大規(guī)模漏洞爆發(fā)時(shí)，人工處置的成本和風(fēng)險(xiǎn)都會(huì)大大增加。在實(shí)踐中，企業(yè)常常采用基于經(jīng)驗(yàn)或推斷的簡(jiǎn)單權(quán)重設(shè)置方式，例如將關(guān)鍵資產(chǎn)權(quán)重設(shè)置為1，普通資產(chǎn)設(shè)置為 0.5 等。然而，這種方法存在著嚴(yán)重的局限性，因?yàn)樗鼰o(wú)法有效地解決不同資產(chǎn)和漏洞之間的優(yōu)先級(jí)關(guān)系，導(dǎo)致漏洞處置工作難以精準(zhǔn)地對(duì)關(guān)鍵資產(chǎn)進(jìn)行保護(hù)。另外，當(dāng)新漏洞被披露時(shí)，通常漏洞的信息是不完整的。例如，可能只有漏洞的基本描述和影響程度，而缺乏詳細(xì)的修復(fù)建議或影響評(píng)估。在信息不完整的情況下，很難準(zhǔn)確判斷漏洞的嚴(yán)重程度和緊急性，從而影響到漏洞處置的效率和準(zhǔn)確性。因此，傳統(tǒng)的漏洞處置方法在面對(duì)新披露的漏洞時(shí)往往會(huì)遇到困難，需要更加智能和靈活的方法來(lái)處理。

二、完善漏洞優(yōu)先級(jí)評(píng)估的思考

為了彌補(bǔ)傳統(tǒng)漏洞處置優(yōu)先級(jí)評(píng)估方法的不足，迫切需要引入先進(jìn)技術(shù)的支持，并重視資產(chǎn)環(huán)境數(shù)據(jù)。

一是引入大型語(yǔ)言模型技術(shù)。在公開數(shù)據(jù)源中漏洞信息不完整的情況下，同時(shí)缺乏其他標(biāo)準(zhǔn)格式數(shù)據(jù)源來(lái)補(bǔ)充漏洞信息時(shí)，首先，我們可以利用大型語(yǔ)言模型從非標(biāo)準(zhǔn)數(shù)據(jù)源（論壇、公眾號(hào)、頁(yè)面、圖片等）中提取漏洞信息，并將其轉(zhuǎn)化為標(biāo)準(zhǔn)信息格式，作為信息的補(bǔ)充。大模型通過(guò)理解非標(biāo)準(zhǔn)數(shù)據(jù)源的上下文和語(yǔ)義，能夠生成可能的補(bǔ)充數(shù)據(jù)，填補(bǔ)漏洞數(shù)據(jù)的空白，并提供更全面、更準(zhǔn)確的信息。其次，大模型能夠基于過(guò)去類似的漏洞數(shù)據(jù)進(jìn)行更加合理的推理，如相同類型漏洞的 CVSS 評(píng)分和向量可能趨于一致。在漏洞公開披露初期，許多字段尚未被廠商或機(jī)構(gòu)評(píng)定數(shù)值，大模型可以有效地提供補(bǔ)充信息（提供更全面、更準(zhǔn)確的信息），幫助安全專業(yè)人員更有效地識(shí)別和理解漏洞的潛在威脅，為他們提供更好的決策支持。此外，在漏洞披露的初期和中期階段，安全專業(yè)人員關(guān)注如何修復(fù)和防御漏洞。然而，網(wǎng)絡(luò)上充斥著大量的錯(cuò)誤信息或者混亂的引用鏈接，大模型可以分析這些鏈接的內(nèi)容，識(shí)別出潛在的漏洞修復(fù)方法，并提供高度可用的修復(fù)方案。這種方式不僅可以加快漏洞修復(fù)的速度，還可以提高修復(fù)的準(zhǔn)確性和效果。例如，當(dāng)漏洞修復(fù)相關(guān)的文檔或社區(qū)討論提供多種修復(fù)方案時(shí)，大型語(yǔ)言模型可以幫助安全團(tuán)隊(duì)快速篩選出最適合其環(huán)境和需求的修復(fù)方案，從而降低修復(fù)的風(fēng)險(xiǎn)和成本。

二是認(rèn)識(shí)到資產(chǎn)環(huán)境數(shù)據(jù)的重要性。資產(chǎn)環(huán)境數(shù)據(jù)在漏洞優(yōu)先級(jí)評(píng)估中扮演著至關(guān)重要的角色，因?yàn)樗峁┝岁P(guān)于組織資產(chǎn)的關(guān)鍵信息，包括業(yè)務(wù)價(jià)值、位置以及所面臨的威脅類型等因素。這些數(shù)據(jù)幫助安全團(tuán)隊(duì)更全面地理解漏洞對(duì)組織安全的實(shí)際影響，從而更準(zhǔn)確地確定漏洞的優(yōu)先級(jí)，并采取相應(yīng)的處置措施。

資產(chǎn)的業(yè)務(wù)價(jià)值是評(píng)估漏洞優(yōu)先級(jí)的關(guān)鍵因素之一。不同的資產(chǎn)在組織中扮演著不同的角色，具有不同的重要性和敏感性。例如，核心業(yè)務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)存儲(chǔ)設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施往往具有較高的業(yè)務(wù)價(jià)值，一旦受到漏洞攻擊可能對(duì)組織造成嚴(yán)重的影響。但是，簡(jiǎn)單地根據(jù)資產(chǎn)重要性是不足以進(jìn)行充分評(píng)估，例如，資產(chǎn)的網(wǎng)絡(luò)位置也是評(píng)估漏洞優(yōu)先級(jí)的重要考量因素。不同位置的資產(chǎn)面臨的安全威脅可能有所不同。例如，位于內(nèi)部網(wǎng)絡(luò)的資產(chǎn)相對(duì)于暴露在公共網(wǎng)絡(luò)或云端的資產(chǎn)，其面臨的外部攻擊風(fēng)險(xiǎn)較低。同時(shí)，資產(chǎn)所面臨的威脅類型也應(yīng)納入考量，因?yàn)椴煌愋偷穆┒纯赡軐?dǎo)致不同類型的安全威脅。

三、通過(guò) AVPT 實(shí)現(xiàn)動(dòng)態(tài)漏洞優(yōu)先級(jí)評(píng)估方法

針對(duì)上述問題，我們提出了自適應(yīng)漏洞優(yōu)先級(jí)評(píng)估（AVPT）——一種基于大模型預(yù)測(cè)和資產(chǎn)環(huán)境數(shù)據(jù)的新型動(dòng)態(tài)漏洞處置優(yōu)先級(jí)評(píng)估方法。該方法通過(guò)結(jié)合資產(chǎn)部署環(huán)境、資產(chǎn)重要性和漏洞本身的危害程度，重新調(diào)整漏洞的危害評(píng)分，實(shí)現(xiàn)漏洞優(yōu)先級(jí)的動(dòng)態(tài)調(diào)整和個(gè)性化定制。

該方法利用大模型預(yù)測(cè)漏洞信息來(lái)補(bǔ)充漏洞的其他關(guān)鍵字段，實(shí)現(xiàn)漏洞數(shù)據(jù)自動(dòng)化填充，并依托這類信息進(jìn)行漏洞處置優(yōu)先級(jí)評(píng)估。這一方法不僅充分發(fā)揮了大模型的預(yù)測(cè)能力，還通過(guò)結(jié)合客戶資產(chǎn)部署環(huán)境、資產(chǎn)重要性等因素，實(shí)現(xiàn)了漏洞處置優(yōu)先級(jí)的個(gè)性化定制。

在資產(chǎn)重要性方面，該方法將其分為三級(jí)，并基于過(guò)往數(shù)據(jù)采用統(tǒng)計(jì)學(xué)和函數(shù)擬合的方式來(lái)獲取三級(jí)權(quán)重系數(shù)。這種做法既考慮了資產(chǎn)的重要性，又充分利用了過(guò)往數(shù)據(jù)的價(jià)值，為不同資產(chǎn)設(shè)置優(yōu)先級(jí)權(quán)重，從而個(gè)性化調(diào)整漏洞評(píng)分，使得漏洞處理更加靈活和針對(duì)性。同時(shí)也充分考慮了資產(chǎn)的網(wǎng)絡(luò)位置、威脅情報(bào)數(shù)據(jù)以及漏洞被利用情況等因素。通過(guò)不斷采集網(wǎng)絡(luò)公開數(shù)據(jù)并結(jié)合大模型的預(yù)測(cè)能力，實(shí)現(xiàn)動(dòng)態(tài)漏洞評(píng)分，使得漏洞處置優(yōu)先級(jí)更加準(zhǔn)確和靈活，幫助安全團(tuán)隊(duì)更好地識(shí)別和應(yīng)對(duì)漏洞威脅。

新型漏洞處置優(yōu)先級(jí)評(píng)估方法為企業(yè)更有效地管理漏洞風(fēng)險(xiǎn)和減少安全風(fēng)險(xiǎn)提供了重要支持。有效縮短了漏洞預(yù)警時(shí)間，使得企業(yè)能夠更快速地做出響應(yīng)，制定漏洞修復(fù)計(jì)劃，并及時(shí)采取行動(dòng)，從而提高了整體安全響應(yīng)能力。

另外，針對(duì)資產(chǎn)數(shù)量較為龐大的客戶，這套技術(shù)方案也表現(xiàn)出了顯著的優(yōu)勢(shì)。通過(guò)新型漏洞處置優(yōu)先級(jí)評(píng)估方法，企業(yè)能夠快速收斂資產(chǎn)安全隱患，提高了整體安全性和穩(wěn)定性。這一方法不僅節(jié)省了企業(yè)大量的時(shí)間和資源，還提高了漏洞管理的效率和精度，為企業(yè)的安全運(yùn)營(yíng)提供了可靠保障。

（本文刊登于《中國(guó)信息安全》雜志2024年第5期）