以下是 16 個有關 Predictive Prioritization 問題的答案
在今年初,Tenable 推出了 Predictive Prioritization,這是一種以資料科學為基礎的創新流程,能根據每一個弱點在攻擊中被利用的可能性,預先排定其優先順序。以下是我們針對您在弱點管理實務中,使用這項新功能的 16 個最迫切問題所提供的回答。
2018 年總共發現了 16,500 個全新弱點,而 CVSS 將其中絕大多數歸類為「高度」或「重大」等級。弱點愈來愈多,那麼要如何找出對貴公司而言最重大的威脅,並且知道要先修復哪些弱點?Predictive Prioritization 是一種創新的處理流程,改變了企業處理弱點而過度負荷的方式,讓企業可以直指問題核心,一舉修復最重要的安全性弱點。好奇 Predictive Prioritization 的運作方式嗎?取得此問題及其他常見問題的回答。
問:Predictive Prioritization 是什麼?
答:Predictive Prioritization 是一種處理流程,可根據弱點遭攻擊者利用的機率來重新排定弱點處理的優先順序。
問:Predictive Prioritization 與弱點優先順序分級 (VPR) 之間有何差異?
答:Predictive Prioritization 處理流程的結果稱為弱點優先順序評等分級 (VPR),表示各個弱點的修復優先順序。VPR 的分數介於 0 到 10 之間,10 表示嚴重性最高。請觀看下方影片,深入瞭解 VPR。
問:為何需要 VPR 分數?使用 CVSS 不是已經能排定弱點的優先順序了嗎?
答:CVSS 能夠有效掌握弱點的範圍及其影響;它可詳盡顯示出特定弱點遭到攻擊者利用的後果。它也可用於衡量弱點遭到利用的可能性。然而,它目前的應用尚無法有效發揮排序所需的精細度。在所有 CVE 中,約有 60% 被 CVSS 評為「高度」或「重大」等級。
Predictive Prioritization 維持 CVSS 架構 (參閱下圖) 原貌,但將原有的 CVSS 可利用性與攻擊利用程式碼成熟度等要素,替換成用機器學習產生的威脅分數 – 其原理為綜合各種資料來源加以歸納得出。也就是說企業可根據弱點的下列特性來制定修復決策:
- 可能遭到攻擊者利用
- 一旦遭到利用會有嚴重影響
問:VPR 分數能取代 CVSS 分數嗎?
答:否。建議用 VPR 來彌補現有優先順序排定流程 (如 CVSS) 的不足。
問:VPR 與 CVSS 的嚴重性區間有何異同?
答:CVSS 與 VPR 用來建立區間的截點相同。不過,由於優先排序的處理方式不同,這兩者的分布也非常不同 (請見下方的互動式圖表)。
問:哪些弱點會有 VPR 分數?
答:目前,Predictive Prioritization 會針對 CVE 已公佈在美國國家弱點資料庫 (NVD) 的所有安全性弱點,產生 VPR 分數。我們日後有意擴充 Predictive Prioritization 評分的弱點範圍。
問:VPR (分數) 會調整嗎?
答:會,Predictive Prioritization 每天會重新計算各個 CVE 的 VPR 分數。根據威脅態勢,分數可能會調整,也可能不會。
問:Predictive Prioritization 會為沒有 CVSS 分數的 CVE 產生 VPR 分數嗎?
答:會。即便 CVE 沒有已公佈的 CVSS 指標/分數,Predictive Prioritization 也會使用已知的資訊 (如弱點描述) 產生 VPR 分數,其中我們是將此類資訊輸入模型,由其根據原文中所出現的字眼來預測分數。
比如弱點說明中含有「Adobe」與「arbitrary code execution」(執行任意程式碼) 等詞彙,鑒於過往具有類似特徵的弱點狀況,模型就會預測 CVSS 分數較高。實際的 CVSS 分數公佈之後,將取代我們的預測值。這一點優勢顯而易見,因為 NVD 通常要等弱點公諸於世的 45 天後才會公佈 CVSS 分數。
問:請協助我瞭解 VPR 分數。重大 (>9) VPR 究竟表示什麼?低 VPR 分數又代表什麼?
答:一般而言,VPR 如為「重大」等級,表示該可疑弱點遭攻擊者利用的機率很高,及/或真的遭到利用,對企業的影響甚鉅。
反之,如果弱點遭攻擊者利用的機率較低,及/或即使真的遭到利用,對企業影響也不大,Predictive Prioritization 則會給予較低的 VPR 分數。但別忘了,凡事無絕對,我們無法斷言某個弱點一定不會遭到攻擊者利用。
問:Tenable 表示,Predictive Prioritization 能幫助企業將全副心力放在 3% 最重要的弱點上。這 3% 的弱點有何意義?
答:這 3% 就是 VPR 評為「高度」或「重大」等級的弱點,企業可據此確定哪些安全性弱點需優先修復。我們建議修復作業從名單上 VPR 評為「重大」和「高度」等級的弱點開始,再依序處理分數較低的弱點。但我們絕非建議企業忽視其餘 97% 的安全性弱點。
問:VPR 與 CVSS 時間性分數之間有何差異?
答:兩者最主要的差異,就是 VPR 可預測未來,而 CVSS 只能查看前車之鑑。VPR 不僅將已知攻擊利用程式碼的功用列入考量,還能預測近期內遭到利用的可能性。VPR 還能進一步細分可能遭到利用的弱點。
問:「Predictive (預測)」乍聽之下很有意思,但它到底有何重要性?
答:光是查看過去的歷史資料來評定弱點分數是不夠的,兼用歷史資料與機器學習型的預測演算法,方能幫助我們預測未來狀況,並做好規劃,而非只是亡羊補牢。在風險控管當中,瞭解過去的狀況固然重要,但更要緊的是預測未來、防範未然。
問:「可利用」與「已利用」之間有何差異?
答:是。「可利用」就是指已知可能遭利用的弱點,作為證據薄弱的概念性警訊而收錄在公共資料庫中。但「已利用」就很嚴重,是指曾經真正遭到過攻擊者利用的弱點。
問:萬一某個弱點已經遭到攻擊者利用,會怎樣?
答:即使是過去曾遭到攻擊利用的弱點,未來實際遭到利用的可能性 (用到網路攻擊中) 也會隨著時間的推移而有所變化。
問:你們會分析每個弱點的完整歷史記錄嗎?
答:我們會對弱點公佈後的所有公開資訊進行研究。
問:機器學習模型的威脅評分依據是什麼?
答:Predictive Prioritization 目前使用 150 多種不同的特徵,作為機器學習模型產生威脅評分的依據。特徵 (或依據) 是一種 CVE 特性,讓我們能夠更清晰的描述或瞭解弱點。舉例如下:
- 弱點已存在多久
- 是否有已知的攻擊套件
- 暗網上的議論
一般而言,我們把特徵分為以下類別:
- 過去的威脅模式 (如過去曾明確發動過的攻擊利用 - 多久之前?多常發生?)
- 過去的威脅來源 (如明確發動過之攻擊利用的來源)
- 弱點指標 (如存取向量、攻擊複雜度、基分之類的 CVSS 指標)
- 弱點中繼資料 (弱點已存在多久、CVE、弱點會影響的廠商/軟體等)
- 使用威脅情報資料推測是否有已知的攻擊利用 (該弱點是否已公佈在利用資料庫中?Metasploit 上?)
目前該資料的來源有七種:
- 資訊安全網站
- 部落格
- 弱點揭露
- 社群媒體
- 論壇
- 暗網
- 弱點態勢
探討其他 Predictive Prioritization 資源
本常見問答集 (FAQ) 係根據客戶常問的 Predictive Prioritization 相關問題而編制 – 我們會視需要更新本文內容。
此處還另有其他實用資源:
相關文章
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning