Gartner：VPT技术原理 ——如何确定网络攻击面上的风险优先级

无论公司规模大小，您都永远没有足够的资源来解决网络攻击面上的每一个漏洞。确定优先级至关重要。

安全团队需要了解企业环境中的漏洞：

各种规模的组织都正被其网络中已经存在的大量漏洞所覆盖。而且，随着现代网络的扩大化和多样化，这个数字仍在飞速增长——这导致了一个不断扩展的、动态的攻击面。

负责安全的领导需要了解企业环境中的漏洞，并使用这些数据来确定其团队工作的优先级。

但是有一个问题：我们今天处理的漏洞比以往任何时候都多。事实上，漏洞的数量在过去几年里几乎增加了两倍【来自Tenable研究报告】。

传统的方法正在变得落后：

仅在2019年，就披露了17,313个新的漏洞。这意味着，安全团队平均每天都面临着47个新的漏洞。由于资源和时间的缺乏，他们需要一种简单的优先级判定方法来考虑优先要修复哪些漏洞。

许多组织正在使用传统的方法，如常见漏洞评分系统(CVSS)来尝试对修复漏洞进行优先级排序。大多数企业尝试修复所有高分和关键漏洞（CVSS得分7及以上）。有些企业可能会选择只集中关注关键漏洞(CVSS评分 为9分及以上)。

“CVSS旨在识别漏洞的技术严重性。相反，人们似乎想知道的是，漏洞或缺陷给他们带来的风险，或者是他们面对漏洞应该有如何的反应速度。——卡内基梅隆大学【 来自“Towards Improving CVSS”——卡内基梅隆大学软件工程研究所，2018年12月】”

CVSS将太多的漏洞归类为高危漏洞和严重漏洞：

根据Tenable研究报告，56%的漏洞的CVSS评分为7或更高，因此被认为是高危或严重漏洞（见图1）。这意味着，对于每10万个漏洞，CVSS规定安全团队必须修复其中的5.6万个漏洞。因此，不难看出，如果使用CVSS，工作负荷就会迅速失控，尤其是考虑到大多数大型企业都有数百万个漏洞。

图1-CVSS将大多数漏洞评分为高漏洞或严重漏洞.png

更重要的是，CVSS是一种完全无效的漏洞修复优先级参考方法。这是因为CVSS是没有风险属性的。由于大多数CVSS分数是在漏洞发现后的两周内分配的，因此该分数仅理论性的参考了漏洞可能带来的风险。这会导致安全团队的大部分精力被浪费在错误的漏洞上。更糟糕的是，他们忽视了许多对业务构成直接威胁的关键漏洞。

CVSS是区分真实风险的一个较差的指标：

即使您的团队能够解决所有得分7分及以上的漏洞，目前也只有不到四分之一（24%）的可利用的漏洞（见图2）。换句话说，如果您使用CVSS7+的策略来确定风险管理工作的优先级，表示您正在浪费团队76%的时间去修复短期内几乎没有风险的漏洞。

图2-基于CVSS基本分数的可利用性分析.png

更糟糕的是，将近一半具有短期内可被利用性的漏洞（44%），CVSS基本得分低于7（见图2）。然而，基于CVSS7+的策略，您可能会完全忽略这些高风险漏洞。

攻击面正在扩大：

攻击面也在扩大，造成了一个被攻击者利用的缺口。除了传统的IT资产之外，现代攻击面也需要您考虑云环境和OT环境中的弱点。问题是，当攻击者正在扫描所有这些环境，以找到最简单的攻击方法时，传统的漏洞管理方法仅限于扫描传统IT环境，因此您永远不会发现云资产和OT资产中的任何弱点。

基于风险的漏洞管理方法是很有必要的：

基于风险的漏洞管理可以帮助安全团队在企业环境中处置漏洞。他们不能完全依赖于CVSS，而是可以将其与几十个基本的漏洞特征结合起来，以确定其严重性。然后，可以将所有这些数据与其他关键风险指标联系起来，包括受影响资产的严重程度、威胁和利用情报，以及对当前和未来可能发生的攻击者活动的评估。

此分析的结果可使安全团队能够集中关注最重要的漏洞和资产。他们不会把时间浪费在利用率低的漏洞上，而是可以解决对业务构成风险最大的问题。

将数据转化为决策：

有效确定每个漏洞对组织造成的风险级别所需的数据和分析量不能是由人类单独完成的，因此需要通过自动化来扩展此过程。

这种自动化甚至可以包括基于机器学习的技术，这些技术可以根据过去和当前关于该漏洞、资产和攻击者活动的信息，来预测在不久的将来该漏洞被利用的可能性。此分析将在几秒钟内为组织的每个漏洞获得风险分数，使安全团队能够首先关注最重要的问题。

利用科学的数据预测风险：

Tenable研究报告分析了11万个漏洞，以构建基于机器学习的模型，这是 Tenable.io（在云端）和Tenable.sc（在本地）固有的能力。预测优先级是基于漏洞被用于网络攻击的概率对漏洞进行评分。

该模型考虑了风险的150多个方面，包括来自这7个数据源的漏洞特征：

• 传统威胁方式

• CVSS

• 美国国家漏洞库

• 数据库

• 传统攻击

• 有漏洞的软件

• EXP

• 传统威胁来源

通过预测优先级，安全团队可以通过首先关注最有可能被利用的3%的漏洞，从而显著提高其修复效率和修复有效性。

文章内容译自Tenable：《Whitepaper-How to Prioritize Risk Across the Cyberattack Surface》