資安團隊：弱點應變須知

Tenable 的 Predictive Prioritization 利用資料科學以及機器學習的方式，讓網路安全團隊更容易發現、修補以及修復弱點。  

大型企業軟體中每週都會發現並公布嚴重弱點，使得安全團隊手忙腳亂地套用修補程式，試圖將損害減至最低。

很多時候，這些活動不是因為業務需求甚至策略安全考量所帶動，而是每日頭條新聞中對於特定弱點的反應所驅使。這樣的情境一再上演，造成不必要的停機，並且使得原本就已經緊繃的網路安全資源瀕臨崩潰邊緣。

「對於需要應付弱點的任何人而言，我們有時會將這種情況形容成忙得團團轉的倉鼠。」Tenable 產品行銷副總裁 Gavin Millard 在近期的網路研討會運用資料科學的力量排定優先順序做出如上表示。 

「基本上，解決已經搜尋到的弱點是個備受煎熬的過程，要不斷修復這些弱點，或是採取補償性控制做法來解決。更多搜尋到的弱點[產生]雪球效應，導致需要處理的弱點越來越多。」Millard 補充道。

如同 Millard 所指出，「事情不應該是這樣的。」

有幾種方法可以利用資料科學這樣的學科以及機器學習之類的技術，建立更全面的軟體弱點修復方案。

以全新方式思考這些挑戰，有助於資安長及其安全團隊排定針對每日大量軟體弱點攻擊做出反應的優先順序，進而妥善分配資源，修補真正對企業構成危險的缺陷。

這是 Predictive Prioritization 的意義所在。

今年早些時候發布的 Predictive Prioritization 將 Tenable 收集得來的弱點資料與第三方弱點及威脅資料結合，並利用 Tenable Research 開發的先進資料科學演算法一併加以分析。現在，每一項弱點都會有一個結合上述分析結果的弱點優先順序評分 (VPR)，並且每日更新。Predictive Prioritization 的功能使得弱點管理團隊能夠在其本身的業務需要背景範圍內針對弱點進行評分。 

解決弱點管理的痛點

在近期由 Tenable 委託 Ponemon Institute 進行調查的報告衡量與管理企業營運的網路風險中，說明了企業對於新方法的渴求。在報告中，Ponemon 針對美國、英國、德國、澳洲、墨西哥以及日本等國家共計 2,410 位 IT 以及 IT 資安從業人員進行調查。 

有半數的受訪者 (51%) 表示人工處理所花費的時間超過應付弱點的時間，導致產生大量後援成本。實際有 48% 的受訪者表示，對於人工處理的依賴致使企業在因應弱點問題的能力方面居於劣勢。

只有 39% 的受訪者表示，在排定優先保護的最重要資產時，納入了威脅情報。不到三分之一 (29%) 的受訪者認為他們對於企業的攻擊破綻具有充分的洞察力。

這些是 Predictive Prioritization 致力於解決的問題：

• 減少對人工處理的依賴
• 讓資源受限的資安長能夠獲得最新以及最優質的威脅情報；以及
• 在大型企業的安全部門需要承擔更多責任時，對於整個攻擊破綻有清楚的認識。

當一切事情都需要優先處理…

根據 National Vulnerability Database (NVD) 的資料，2018 年公佈了超過 16,500 個弱點。該數字當中，有 15% 的弱點在 CVSS (Common Vulnerability Scoring System) 評分卡中評為 9+ 等級。

這種方法很容易產生太多的雜音。

Millard 在網路研討會中指出：「如果所有事情都重要，那就等於沒有重要的事情了」。

Predictive Prioritization 改善了傳統的 CVSS 分析，將這些軟體漏洞對於企業構成的實際風險納入考量，創造出動態分數，而不是專注在特定弱點的技術複雜性。「對我而言，CVSS 就像是某人的 CV 或是履歷。它的內容可供瞭解求職者的亮點，但是無法說明求職者真正的人格特質，以及求職者如何運用這些特質。」Millard 引用 Carnegie Mellon 大學的研究《改善 CVSS 之路》如此表示，該研究發現 CVSS 有改善的必要性。

2018 年 12 月 5 日，在一篇有關 CVSS 研究的部落格貼文中，Carnegie Mellon 教職員 Deana Schick 寫道：「設計 CVSS 的目的在於透過技術衡量弱點的嚴重性，但是卻被廣泛誤用為排定弱點優先順序以及評估風險的手段。分數演算法的公正性不足，對於想要瞭解其預期功能的社群，也缺乏必要的透明性。此外，將 CVSS 誤用為風險分數，意味著不可能如願瞭解到以為能瞭解的事情。」

在 Tenable 網路研討會中，Millard 這麼解釋：「CVSS 非常技術性，只專注在弱點的基礎性、短暫性[以及]環境性指標，並不會就該弱點構成的風險提供實際層面上的觀點。」

弱點優先順序評分是 Tenable Predictive Prioritization 功能的產物，每晚會隨著透過 Tenable 全球資源取得的最新資訊重新進行調整。從廣義上來說，Predictive Prioritization 和弱點優先順序評分能夠使得需要立即修復的弱點在數量上減少約 97%。如此能讓弱點管理團隊清晰掌握剩餘 3% 的部分，也就是最有可能遭到攻擊者利用的已知弱點。

深入瞭解：

• 閱讀部落格： 弱點管理最佳做法須知
• 觀看網路研討會： 運用資料科學的力量排定優先順序