1.背景介绍

在2020年9月的“Gartner安全风险与管理峰会”上发布的《2020-2021 Top Security Projects》中，首次正式提出“Risk-Based Vulnerability Management”（基于风险的弱点管理）项目，作为TOP 10的第二项（在2018和2019年叫“符合CARTA方法论的弱点管理项目”，于2020年进行了重新定义）。

其项目关键点描述是：要意识到永不可能100%打补丁；和IT运维联合行动（创造双赢）；利用现有的扫描数据和流程；用VPT（“Vulnerability prioritization technology”漏洞优先级技术）工具来增强弱点评估以更好的确定优先级。

为了让描述更准确，对“Vulnerability”进一步做解释。在信息安全领域，它包含的意义有：漏洞、弱点、脆弱性三个。

• 漏洞：在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统；
• 弱点：按照Tenable的描述，它包含漏洞，以及除漏洞以外的配置不当、弱口令、信息泄露等等；
• 脆弱性：按照GB/T 20984的描述，它包含技术脆弱性和管理脆弱性，也就是包含了上述提到的弱点以及ISMS中包含的管理安全项。

这里提出以上三点的原因是，在我们研究了大量资料后发现，虽然在Gartner和一些其他的方案中，都会提到“VPT”，但是它有时候代表的是“漏洞优先级技术”，而有时候代表的是“弱点优先级技术”（幸好它们几乎考虑的都是技术安全，而没有讨论“综合脆弱性”的问题，让这个话题稍微简单了一些）。

在本文撰写时，由于国内对该概念以及实现尚处于萌芽阶段，所以本文所讨论的内容，将限定在“漏洞优先级”。而更广义的“弱点优先级”会在之后的文章中另做讨论。

2.VPT的行业认知

Gartner在2020年9月发布了“基于风险的弱点管理”项目之后，又分别于2021年6月25日发布了“Market Guide for Vulnerability Assessment”（漏洞评估市场指南），以及在2021年7月23日发布了“Hype Cycle for Security Operations, 2021”（2021安全运营技术成熟度模型）。

在《漏洞评估市场指南》中，提出了明确的建议：“利用漏洞优先级技术 （VPT）解决方案实施基于风险的漏洞管理方法，将漏洞结果带到统一平台以进行优先级排序和处理（例如修补），提高安全运营效率”。并且对于VPT的技术要求进行了定义，我们在下述技术章节中将进行描述。

在《安全运营技术成熟度模型》中我们可以看出，VPT技术是一个新兴的，并且正处于“最具期待性”的巅峰技术，其距离被市场普遍认可以及产品成熟期，还需要大约2-5年的时间。

根据调研，该技术的收益评级为：高；市场渗透率为：20%-50%。

很多官方给出的定义和方法论为了严谨性，都写的过于冗余和复杂。我们用最接地气的说法就是：

在安全运营工作中，想修复所有的漏洞几乎不可能，VPT是采用某些方法和流程，动态的将需要修复的漏洞进行优先级排序和流程优化，提高修复效率，以达到用最少的时间实现最好的效果。

3.VPT发展的必然性

WhiteHat Security在其《应用安全状态纵览》研究报告中显示：截止2021年5月，全美公共事业部门平均漏洞修复时间在205天，全部应用中超过66%存在至少一个可利用的开放漏洞；制造业60%以上的应用存在超过365天的漏洞暴露窗口期；金融业约40%的应用具有365天的漏洞暴露窗口期。

我们有理由相信，国内的整体安全现状并不会比美国强多少（或者并不会比美国强）。关于漏洞的检出和处置的话题、技术和产品，在国内已经超过20年了，在美国的时间更长。为什么随着安全技术越来越成熟，安全产品的品类越来越多，漏洞修复时间却越来越长，安全运营的工作量反而增多了，效果反而变差了？

我们认为，主要有以下3个方面的原因：

1. IT行业的技术和应用更加丰富。在传统互联网时代，大部分漏洞集中在操作系统、中间件、业务应用等方面，而随着移动互联网、云技术、IOT等的普及和应用，漏洞影响的范围成倍数的增加了；
2. 漏洞的数量增长迅速。以美国国家漏洞库（NVD）在2017年到2019年发布的结果来看，3年时间里漏洞从9837个/年增长到16500个/年。我国的国家信息安全漏洞共享平台（CNVD）显示，2020年漏洞总数量为20239个；
3. 虽然安全产品和技术种类增加了，但是很多并没有聚焦到如何直接抑制黑客攻击。

我国为了加强在漏洞管理方面的力度，切实有效的直接防范国内外黑客攻击，在2021年7月12日由工业和信息化部、国家互联网信息办公室、公安部三部门联合发布了《网络产品安全漏洞管理规定》，并于2021年9月1日施行。这是我国第一次将漏洞管理和法律责罚结合在一起发布的文件，这也体现了网络安全中进行高效漏洞管理的重要性，标志着我国在漏洞管理方面将进行强力度的整改。

尽管《规定》中并未对操作细节和技术要求进行定义，但是已经明确说明了主体责任和相关罚则。

在日益成熟的DevSecOps领域，美国权威开源软件机构WhiteSource发布了《DevSecOps深度分析报告——安全vs.开发: DevSecOps的决战》，调查显示，目前虽然大部分成熟的机构都在DevSecOps领域有所建树，但是仍然存在以下四个主要问题：

我们可以看到，在技术关键点上，漏洞优先级的确定以及相关流程的完善，是影响DevSecOps成熟的主要问题。以下为报告引用：

安全左移是DevSecOps的重要部分之一，而安全左移的同时，白盒检测等相关的安全检测产品会爆出大量开发阶段的安全漏洞，并且无论是白盒还是黑盒安全检测，检测的工具越丰富、手段越多，漏洞数量就越丰富。但是如上所述，DevSecOps遇到的第一个问题就是“大多数安全人员和开发人员都感到被迫要在安全性上妥协，以满足最后交付期限的要求”。产品的Deadline是开发人员无法突破的，所以确定漏洞优先级，并处理最需要解决的问题就势在必行。

4.VPT的原理和实现

通过综合研究Gartner的各类技术报告和方法论，以及Tenable和WhiteSource等组织的报告、研究结果和解决方案，我们认为在VPT（漏洞优先级）的产品实现上应该做到以下几点：

Step1：建立漏洞情报库并进行动态的漏洞应急响应

漏洞情报库并非漏洞库，目前很多人将其混为一谈。漏洞情报库应该包含至少4方面的内容：

1. 较完善的漏洞库，其中至少应包含：CVE、CWE、NVD、CNVD、CNNVD等常规漏洞库；

2. 全国或全球攻击面测绘数据；

3. 在野EXP库；

4. 漏洞开源情报。

对于漏洞情报要进行动态分析，尤其要关注0day和1day开源情报。对在野EXP的持续技术分析、0day和1day开源情报的漏洞分析，以及这些漏洞在全国和全球范围的影响度和攻击可能性的分析。

这些数据将是漏洞优先级排序的重要参数之一。

在这方面，Tenable给出了很好的示范。

一方面，他们对于在野漏洞可使用情况进行了统计分析：

在每年新发现的近20000个漏洞中，即使安全团队修补了所有高危和严重漏洞，也不过只修复了24%的可利用漏洞，而这更意味着，安全团队有76%的时间消耗在短期内几乎无风险的漏洞上。更糟糕的是，有44%的短期可被利用的漏洞被评为中低风险，而很可能被忽略掉。

这里的原因正如卡内基梅隆大学软件工程研究所所述：CVSS旨在识别漏洞的技术严重性。相反，人们似乎想知道的是，漏洞或缺陷给他们带来的风险，或者是他们面对漏洞应该有如何的反应速度。

可惜的是，目前几乎所有国内外漏洞扫描报告、渗透测试报告或漏洞评级都是依据这个方法定义的。

另一方面，Tenable在通过对20万亿漏洞情报等数据进行人工分析和机器学习后认为安全团队应该优先关注的漏洞占所有漏洞的3%左右。

Step2：建立漏洞优先级模型

3%的漏洞需要优先处理，也就意味着，安全团队在漏洞优先级排序技术的帮助下，仅需要消耗比以前少的多的时间和精力，就可以使安全达到一个较高的水平，可以将其余时间和精力花费在更紧急和需要完成的工作上。

Step3：绘制完整的网络资产攻击面

漏洞优先级并不是针对某一部分IT资产，而应该是企业或组织内部所有管辖的IT资产。传统认知的IT资产，包括服务器、数据库、中间件、业务应用等，而现在我们应该关注的，除了传统认知的IT资产以外，还应该包含移动APP、小程序、云端资产、容器、IOT设备等等。

尤其是要重点关注的还应该包括两类：一类是影子资产的存在和检出，因为无论是真实的黑客攻击，还是在护网等项目中，影子资产往往是最容易被安全团队忽略和最易受到攻击的；另一类是安全设备本身，这也是非常容易被忽略的，但是从近几年护网和1day事件来看，安全设备本身出现问题屡见不鲜，并且如果出现了问题，往往导致整体安全性骤然降低。

绘制完整的网络资产攻击面，是实现VPT场景化解决方案的辅助手段。现在的技术方向属于“网络空间测绘”或“CAASM（网络资产攻击面管理 ）”。这个能力可以是VPT产品的自有能力，也可以是集成相关产品的能力。

Step4：适应DevSecOps并具备自动化能力

VPT另外一个核心能力要求，就是要“利用现有漏洞扫描工具和各种漏洞数据”，这不仅仅是Gartner方法论中提出的要求，而是只有做到了这个要求，才能更有效的将VPT技术整合在DevSecOps流程中。它应该包含至少3方面的能力：

1. 符合DevSecOps和组织的基本流程，并可以在某些程度上依据组织的要求进行定制；

2. 能够集成各类漏洞数据源，包括：网络扫描器、Web扫描器、APP扫描器、白盒审计、渗透测试、众测数据（甚至可以自建企业SRC）等等；

3. 对于组织自开发的业务应用，应该具有漏洞算法和调优的能力（可以考虑使用机器学习），因为企业自开发的业务应用发现的一些漏洞，往往很难匹配到通用漏洞中。

此外，Gartner对于VPT的要求中提到，其应该具备一定的SOAR能力，也就是说，它应该具备漏洞相关产品的自动化调用和具有一定的流程编排能力。

5.对于VPT的期待

VPT（漏洞优先级技术）是一个漏洞管理（VM）领域的微创新技术。目前国际上对于VPT的认可度正突飞猛进，但国内尚处于萌芽阶段，作为信息安全从业者，我们有义务对该技术进行推广和实现。我们是国内最早在该技术方向进行产品研发和方案落地的公司，并于今年7月在“ISC 2021互联网安全大会”上进行了主题演讲和技术分享。希望它们能够有效的提高安全工作的效率，提升企业安全运营的效果。