基于漏洞优先级技术，构建以真实风险为中心的漏洞管理系统

漏洞管理工作面临的新挑战

漏洞管理是企业安全管理的重要环节，当前这项工作面临很多新的挑战。在新基建和安全左移的背景下，企业的软硬件资产不断增加，对应的漏洞数量也在逐年增长。这导致安全团队经常被淹没在大量的漏洞告警中，但是安全人员不可能处置所有的问题，如何确定漏洞修复优先级显得尤为重要。

不能有效评估漏洞修复优先级是很多企业在漏洞管理工作中面临的最紧要问题之一。有的企业通过扫描识别安全漏洞，然后直接进入修复阶段。考虑到各种因素，这种紧迫性可以理解。但这种做法归根结底会带来更大的风险，安全人员的很多精力投入到了没有真正风险的问题上，导致时间和资源的浪费。

VPT概念应运而生

针对漏洞管理面临的这些新挑战，漏洞优先级技术（Vulnerability Prioritization Technology，简称VPT ）应运而生。

2019年，Gartner发布了“Market Guide for Vulnerability Assessment（2019）”（漏洞评估市场指南（2019）），VPT作为一个新技术点被提出。VPT解决方案需要结合漏洞评估报告、资产重要性、威胁情报等数据，通过高级分析技术，为安全管理人员提供漏洞修复优先级指导，以期在最短的时间内利用有效的资源进行漏洞修复，减少攻击面。

2021年，Gartner发布了“Market Guide for Vulnerability Assessment（2021）”（漏洞评估市场指南（2021）），VPT被进一步强调。在同年发布的“Hype Cycle for Security Operations, 2021”（2021安全运营技术成熟度模型）中，VPT被认为是一个新兴的巅峰技术，对企业漏洞管理工作具有重要意义。

VPT能够通过多种手段，将待修复漏洞进行优先级排序，达到使用合理的资源和最少的时间，尽可能的降低风险。通过将工作重点放在识别风险最大的漏洞并确定其优先级，企业简化了漏洞分析和补救缓解的过程。这项技术考虑的因素包括漏洞的可利用性、资产或业务关键性、漏洞的严重性以及适当的缓解控制。

为什么需要VPT

伴随着数字新基建的开展，IT技术和应用更加多样化。过去发现的漏洞多数集中在业务应用、中间件和操作系统等方面，而随着云计算、大数据、IOT、移动互联网和5G等技术的普及和应用，导致网络边界模糊化和攻击面扩大化，漏洞影响范围成倍增加。

这必然也会导致漏洞数量的快速增长和修复工作的压力增加。虽然安全设备和防护技术的种类增加了，但是企业部署之后的效果如何，并没有有效手段来持续监测和优化。

面临以上这些情况，安全人员需要投入更多精力来确定漏洞的修复优先级。在漏洞处置过程中，传统的方式仅通过通用漏洞评分系统（CVSS）来确定漏洞修复顺序。但是这种方式并未考虑到实际环境中漏洞的可利用性和资产重要性等因素，因而无法反映业务环境的真实风险情况。

安全人员难以准确判断可被攻击的关键漏洞，从而导致漏洞修复效率较低。有效的优先级评估需要把漏洞信息结合外部威胁、资产和业务环境等多种因素，智能地评估出真正的关键漏洞，帮助用户聚焦真实的风险。而VPT这项技术的出现正好满足了当前的用户需求。

为了提高漏洞管理水平和实现有法可依，我国在 2021 年 7 月 12 日由工业和信息化部、国家互联网信息办公室、公安部三部门联合发布了《网络产品安全漏洞管理规定》，并于 2021 年 9 月 1 日起正式施行。这既体现了高效漏洞管理的重要性，也标志着我国在漏洞管理方面将进行强力度的整改。

这项规定的发布推动了网络产品安全漏洞管理工作的制度化、规范化、法治化，有利于防范网络安全重大风险，保障国家网络安全，同时也对漏洞管理工作有了更高的要求和期许。

如何实现VPT

在漏洞管理过程中，安全团队要实时掌握外部安全威胁，并对内部资产进行关联，才能在安全漏洞爆发的第一时间察觉内部资产的安全状况，将大量漏洞智能化地评定优先级，聚焦高风险漏洞，并优先解决面临的真实风险。将VPT融合到漏洞管理的过程中，应该从以下几个方面着手：

• 建立漏洞知识体系‍

漏洞知识体系涵盖了漏洞数据库和漏洞情报库。漏洞数据库应该包括但不限于全量的CVE、CWE、NVD、CNVD、CNNVD等官方数据。漏洞情报库需要实时感知全球漏洞情报，并在第一时间对漏洞进行有效预警。情报还需要关注漏洞是否已公开POC或EXP、是否被添加到自动化利用工具箱、是否被添加到恶意软件、是否被添加到勒索病毒和是否被APT组织利用等信息。

• 验证漏洞是否真实可利用‍

漏洞可利用的验证需要基于漏洞情报，采用POC或EXP来进行。漏洞情报可以帮助我们识别利用热度高的漏洞，但是这些漏洞在用户网络环境中是否真的存在风险，仍然需要进一步验证。通过传统的扫描方式识别漏洞，准确度方面有所欠缺，在可利用验证方面更是无从下手。只有在有效验证的基础上，才能帮助用户准确的排定优先级，聚焦于真实可利用的风险。

• 评估缓解措施有效性

漏洞知识体系和漏洞验证手段，可以对用户确定优先级给予一定程度的帮助，但是并未把用户实际网络环境充分考虑进来。通常用户都会对生产网和办公网进行安全域的划分，并采购多种安全设备部署其中作为漏洞的缓解措施，比如WAF、IPS、邮件网关、防火墙、EDR/EPP等。这就需要采用入侵和攻击模拟（BAS）技术对安全设备防护能力进行评估，并在此基础上进行攻击路径的分析和推演。评估漏洞优先级时，需要把安全设备的缓解控制和攻击路径作为考虑因素。

• 持续监测资产攻击面‍

漏洞优先级评估工作应该涵盖企业内外部所有的IT资产，比如服务器的操作系统、数据库、中间件、进程、端口和业务应用等一系列可利用的攻击面。随着IT技术不断发展，除了这些传统的IT资产外，还应该考虑到云环境、容器、IOT 设备、APP、小程序和API等等。

聚焦真正的高风险漏洞，是VPT技术的核心理念，VPT的实现也能够帮助用户投入更少的时间和精力将安全工作提升到一个较高的水平。

VPT的实际应用

VPT是漏洞管理领域的创新技术，在国外发达地区该技术已得到突飞猛进的发展，但国内尚处于早期阶段。作为信息安全从业者，有义务对VPT进行推广和实现，让这项技术能够服务于国内政企，有效的提高安全工作效率，提升漏洞管理的水平。

面对国内市场的需求，灰度安全推出了先知·智能风险评估系统。基于风险评估理念，将VPT融合到了漏洞管理过程中。该系统结合用户实际网络环境，资产重要性、漏洞利用热度、CVSS评分、攻击路径和缓解措施建立优先级模型，动态、智能地评估出漏洞优先级，能够帮助用户构建以真实风险为中心的漏洞管理系统。

先知·智能风险评估系统聚焦于网络环境的综合风险评估，除漏洞管理功能之外，还可以对安全设备防护能力、纵深防御体系有效性和数据泄漏进行评估，帮助企业全面提升风险评估水平，做到安全工作成效可视化度量。