Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable 部落格

訂閱

以下是 16 個有關 Predictive Prioritization 問題的答案

在今年初,Tenable 推出了 Predictive Prioritization,這是一種以資料科學為基礎的創新流程,能根據每一個弱點在攻擊中被利用的可能性,預先排定其優先順序。以下是我們針對您在弱點管理實務中,使用這項新功能的 16 個最迫切問題所提供的回答。

2018 年總共發現了 16,500 個全新弱點,而 CVSS 將其中絕大多數歸類為「高度」或「重大」等級。弱點愈來愈多,那麼要如何找出對貴公司而言最重大的威脅,並且知道要先修復哪些弱點?Predictive Prioritization 是一種創新的處理流程,改變了企業處理弱點而過度負荷的方式,讓企業可以直指問題核心,一舉修復最重要的安全性弱點。好奇 Predictive Prioritization 的運作方式嗎?取得此問題及其他常見問題的回答。

問:Predictive Prioritization 是什麼?

答:Predictive Prioritization 是一種處理流程,可根據弱點遭攻擊者利用的機率來重新排定弱點處理的優先順序。

問:Predictive Prioritization 與弱點優先順序分級 (VPR) 之間有何差異?

答:Predictive Prioritization 處理流程的結果稱為弱點優先順序評等分級 (VPR),表示各個弱點的修復優先順序。VPR 的分數介於 0 到 10 之間,10 表示嚴重性最高。請觀看下方影片,深入瞭解 VPR。

問:為何需要 VPR 分數?使用 CVSS 不是已經能排定弱點的優先順序了嗎?

答:CVSS 能夠有效掌握弱點的範圍及其影響;它可詳盡顯示出特定弱點遭到攻擊者利用的後果。它也可用於衡量弱點遭到利用的可能性。然而,它目前的應用尚無法有效發揮排序所需的精細度。在所有 CVE 中,約有 60% 被 CVSS 評為「高度」或「重大」等級。

Predictive Prioritization 維持 CVSS 架構 (參閱下圖) 原貌,但將原有的 CVSS 可利用性與攻擊利用程式碼成熟度等要素,替換成用機器學習產生的威脅分數 – 其原理為綜合各種資料來源加以歸納得出。也就是說企業可根據弱點的下列特性來制定修復決策:

  • 可能遭到攻擊者利用
  • 一旦遭到利用會有嚴重影響

CVSS 與 Predictive Prioritization 架構的比較

問:VPR 分數能取代 CVSS 分數嗎?

答:否。建議用 VPR 來彌補現有優先順序排定流程 (如 CVSS) 的不足。

問:VPR 與 CVSS 的嚴重性區間有何異同?

答:CVSS 與 VPR 用來建立區間的截點相同。不過,由於優先排序的處理方式不同,這兩者的分布也非常不同 (請見下方的互動式圖表)。

問:哪些弱點會有 VPR 分數?

答:目前,Predictive Prioritization 會針對 CVE 已公佈在美國國家弱點資料庫 (NVD) 的所有安全性弱點,產生 VPR 分數。我們日後有意擴充 Predictive Prioritization 評分的弱點範圍。

問:VPR (分數) 會調整嗎?

答:會,Predictive Prioritization 每天會重新計算各個 CVE 的 VPR 分數。根據威脅態勢,分數可能會調整,也可能不會。

問:Predictive Prioritization 會為沒有 CVSS 分數的 CVE 產生 VPR 分數嗎?

答:會。即便 CVE 沒有已公佈的 CVSS 指標/分數,Predictive Prioritization 也會使用已知的資訊 (如弱點描述) 產生 VPR 分數,其中我們是將此類資訊輸入模型,由其根據原文中所出現的字眼來預測分數。

比如弱點說明中含有「Adobe」與「arbitrary code execution」(執行任意程式碼) 等詞彙,鑒於過往具有類似特徵的弱點狀況,模型就會預測 CVSS 分數較高。實際的 CVSS 分數公佈之後,將取代我們的預測值。這一點優勢顯而易見,因為 NVD 通常要等弱點公諸於世的 45 天後才會公佈 CVSS 分數。

問:請協助我瞭解 VPR 分數。重大 (>9) VPR 究竟表示什麼?低 VPR 分數又代表什麼?

答:一般而言,VPR 如為「重大」等級,表示該可疑弱點遭攻擊者利用的機率很高,及/或真的遭到利用,對企業的影響甚鉅。

反之,如果弱點遭攻擊者利用的機率較低,及/或即使真的遭到利用,對企業影響也不大,Predictive Prioritization 則會給予較低的 VPR 分數。但別忘了,凡事無絕對,我們無法斷言某個弱點一定不會遭到攻擊者利用。

問:Tenable 表示,Predictive Prioritization 能幫助企業將全副心力放在 3% 最重要的弱點上。這 3% 的弱點有何意義?

答:這 3% 就是 VPR 評為「高度」或「重大」等級的弱點,企業可據此確定哪些安全性弱點需優先修復。我們建議修復作業從名單上 VPR 評為「重大」和「高度」等級的弱點開始,再依序處理分數較低的弱點。但我們絕非建議企業忽視其餘 97% 的安全性弱點。

問:VPR 與 CVSS 時間性分數之間有何差異?

答:兩者最主要的差異,就是 VPR 可預測未來,而 CVSS 只能查看前車之鑑。VPR 不僅將已知攻擊利用程式碼的功用列入考量,還能預測近期內遭到利用的可能性。VPR 還能進一步細分可能遭到利用的弱點。

問:「Predictive (預測)」乍聽之下很有意思,但它到底有何重要性?

答:光是查看過去的歷史資料來評定弱點分數是不夠的,兼用歷史資料與機器學習型的預測演算法,方能幫助我們預測未來狀況,並做好規劃,而非只是亡羊補牢。在風險控管當中,瞭解過去的狀況固然重要,但更要緊的是預測未來、防範未然。

問:「可利用」與「已利用」之間有何差異?

答:是。「可利用」就是指已知可能遭利用的弱點,作為證據薄弱的概念性警訊而收錄在公共資料庫中。但「已利用」就很嚴重,是指曾經真正遭到過攻擊者利用的弱點。

問:萬一某個弱點已經遭到攻擊者利用,會怎樣?

答:即使是過去曾遭到攻擊利用的弱點,未來實際遭到利用的可能性 (用到網路攻擊中) 也會隨著時間的推移而有所變化。

問:你們會分析每個弱點的完整歷史記錄嗎?

答:我們會對弱點公佈後的所有公開資訊進行研究。

問:機器學習模型的威脅評分依據是什麼?

答:Predictive Prioritization 目前使用 150 多種不同的特徵,作為機器學習模型產生威脅評分的依據。特徵 (或依據) 是一種 CVE 特性,讓我們能夠更清晰的描述或瞭解弱點。舉例如下:

  • 弱點已存在多久
  • 是否有已知的攻擊套件
  • 暗網上的議論

一般而言,我們把特徵分為以下類別:

  • 過去的威脅模式 (如過去曾明確發動過的攻擊利用 - 多久之前?多常發生?)
  • 過去的威脅來源 (如明確發動過之攻擊利用的來源)
  • 弱點指標 (如存取向量、攻擊複雜度、基分之類的 CVSS 指標)
  • 弱點中繼資料 (弱點已存在多久、CVE、弱點會影響的廠商/軟體等)
  • 使用威脅情報資料推測是否有已知的攻擊利用 (該弱點是否已公佈在利用資料庫中?Metasploit 上?)

 目前該資料的來源有七種:

  • 資訊安全網站
  • 部落格
  • 弱點揭露
  • 社群媒體
  • 論壇
  • 暗網
  • 弱點態勢

探討其他 Predictive Prioritization 資源

本常見問答集 (FAQ) 係根據客戶常問的 Predictive Prioritization 相關問題而編制 – 我們會視需要更新本文內容。

此處還另有其他實用資源:

相關文章

您可以使用的網路安全最新消息

輸入您的電子郵件,就不會錯過來自 Tenable 專家提供的及時警示與安全指引。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,能夠以無與倫比的準確性查看和追蹤所有資產。

您的 Tenable Vulnerability Management 試用版軟體也包含 Tenable Lumin 和 Tenable Web App Scanning。

Tenable Vulnerability Management

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

100 項資產

選取您的訂閱選項:

立即購買

試用 Tenable Web App Scanning

享受完整存取我們專為新型應用程式所設計、屬於 Tenable One 曝險管理平台一部分的最新 Web 應用程式掃描產品。不需耗費大量人力或中斷重要 Web 應用程式,即可高度準確且安全地掃描您整個線上產品系列中是否含有任何弱點。 立即註冊。

您的 Tenable Web App Scanning 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Lumin。

購買 Tenable Web App Scanning

享受現代、雲端型的弱點管理平台,使您能夠以無與倫比的準確性查看和追蹤所有資產。 立即訂閱一年。

5 個 FQDN

$3,578

立即購買

試用 Tenable Lumin

利用 Tenable Lumin 視覺化並探索您的曝險管理、追蹤經過一段時間後風險降低的情形以及與同業進行指標分析。

您的 Tenable Lumin 試用版軟體也包含 Tenable Vulnerability Management 和 Tenable Web App Scanning。

購買 Tenable Lumin

聯絡業務代表,瞭解 Tenable Lumin 如何協助您取得您整個環境的深入解析和管理網路風險。

免費試用 Tenable Nessus Professional

免費試用 7 天

Tenable Nessus 是目前市場上最全方位的弱點掃描器。

最新 - Tenable Nessus Expert
現已上市

Nessus Expert 新增了更多功能,包括外部攻擊破綻掃描和新增網域及掃描雲端基礎架構的能力。按這裡試用 Nessus Expert。

請填妥以下表單以繼續 Nessus Pro 試用。

購買 Tenable Nessus Professional

Tenable Nessus 是目前市場上最全方位的弱點掃描器。Tenable Nessus Professional 可協助將弱點掃描流程自動化,節省您執行合規工作的時間並讓您與 IT 團隊合作。

購買多年期授權,節省更多。新增 365 天全年無休 24 小時全天候可使用電話、社群及對談的進階支援。

選擇您的授權

購買多年期授權,節省更多。

增加支援與訓練

免費試用 Tenable Nessus Expert

免費試用 7 天

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

您已經有 Tenable Nessus Professional 了嗎?
升級至 Nessus Expert,免費試用 7 天。

購買 Tenable Nessus Expert

Nessus Expert 是專為現代攻擊破綻所打造,它能讓您從 IT 到雲端洞察更多資訊,並保護貴公司免於弱點危害。

選擇您的授權

購買多年期授權省更多!

增加支援與訓練