安全的本質是動態對抗，將其映射到漏洞管理領域就是漏洞不斷產生和不斷快速響應的過程。在有限資源下，實現投入的回報收益最大化是漏洞管理的核心目標。為了達成該目標，并將合規驅動轉化為攻防實戰驅動安全管理工作，我們引進VPT技術應用于日常漏洞管理工作體系建設。本文將就該技術實踐中的思考和過程與大家分享。

VPT技術起源

VPT全稱為Vulnerability prioritization technology，意為弱點優先級技術，被廣泛用于漏洞評估領域。它是全球知名咨詢公司Gartner在2019年的《A Guide to Choosing a Vulnerability Assessment Solution》（Gartner，2019.04）一文中首次提出的。Gartner示意：“到2022年，使用基于風險的漏洞管理方法的組織，會減少80%的被攻擊的可能”，認為針對漏洞的管理應該以縮小實際被攻擊可能性為根本目的。
 
在Gartner的標準定義中，對VPT提了以下技術點：
• VA telemetry，即漏洞評估測試，主要是指基礎的漏洞數據提供和目標檢測方式，對目標系統進行漏洞檢測和安全性危害評價；
•Asset criticality context即資產重要性關系，主要是指針對弱點所在的資產，站在非安全視角評估資產重要性以納入弱點影響評價，廣義資產包含服務器、網站業務、接口、IoT設備等；
• Environment context即環境關系，基于網絡配置情況、安全防御情況等評價弱點的影響面和損失價值；
• Multiple threat intelligence即海量威脅情報，這里的情報不是威脅情報，主要是弱點的情報信息，包括漏洞嚴重性評分 (CVSS)、修復的難易程度、漏洞的發布日期、易受攻擊的軟件項目的流行程度以及發現漏洞的應用程序類型等。
 

VPT技術的本土化思考

VPT技術的主要目的是在有限的時間內，盡可能多的降低被攻擊的風險，就像在降低SoC/SIEM的無效告警一樣，我們需要從威脅、影響、可修復性三個方面對漏洞處理優先級排序，比漏洞檢測更進一步的實現了基于風險的弱點管理。但從VPT技術落地的角度而言，我們需要更多的考慮如何將它本土化。
 
VPT技術關注重點不是漏洞，而是攻擊面。它是一種動態對抗思想，從防守角度在一定時間范圍內，最大限度的縮小已有攻擊面可能帶來的損失。在本土化背景下，該思想的落地場景主要在于攻防演練和關基保護等需要真實防范攻擊的安全場景，其中VPT的價值不僅是降低工時和提升效率，更要兼顧考慮指導安全響應和避免安全責任這兩項附加價值。VPT應用在國內不得不考慮以下幾點：
•VPT需要站在業務角度進行評價
在評價漏洞時加入對業務影響性，并將評價的關鍵因素呈現出來，會使得業務部門對安全部門提出的處置優先級更易理解。該評價不是簡單的根據漏洞所在資產進行，而是需要更具象到漏洞可能造成的損失。
•VPT需要考慮到國內老舊信息資產響應實操性的問題
我國IT數字化建設發展極為迅速，但由于一些歷史原因積累了較多老舊的信息資產，這些資產的漏洞修補會比較困難。如果不考慮漏洞的可修復性，反而會給業務部門增加很多負擔，所以VPT需要建立對可修復性的建議和標記。
•VPT需要符合中國的網絡安全相關規定
應用VPT技術對弱點進行評價時需要考慮我國的相關規定，如《GB/T 30279-2020 網絡安全漏洞分類分級指南》、《GB/T 20984-2007信息安全技術 信息安全風險評 估規范》。在《GB/T 30279-2020 網絡安全漏洞分類分級指南》中詳細定義了漏洞指標類分級、漏洞技術分級、漏洞綜合分級的方法對漏洞進行評價，包括不限于被利用性指標、影響程度指標等。
 

VPT技術的本土化實踐

VPT技術雖然一經推出即受到行業領先企業的追捧，但在國內的落地與實踐并未展開。直到2020年，由華云安參與制定的《信息安全技術—網絡安全漏洞分類分級指南》（GB/T 30279-2020）正式發布，結合了《信息安全技術 信息安全風險評估規范》（GB/T 20984-2007）的風險評估理念，為我國基于風險進行漏洞的評級和管理提供了本土化依據和方法。
 
華云安在VPT技術實踐中，運用多種技術手段提高評價數據維度與精度，提高實戰攻防場景下VPT技術的應用效果。
•構建評價因子的數據模型
弱點優先級評價技術就是安全弱點發展成安全事件的可能性。在此基礎上，華云安構建了漏洞利用性評價、漏洞影響面評價、漏洞事件可能性評價等場景算法。
漏洞利用性評價基于漏洞確信度、訪問路徑、環境要求、應用權限和交互函數等元數據構造響應的數據模型。
漏洞影響面評價主要包括資產重要性（ACR）評價及漏洞的危害性評價。從資產角度收集包括資產的流量間訪問關系、業務敏感請求，支持關聯設備類型、網絡區域等多類數據對資產的重要性進行評價，ACR數值越高，則資產價值量越大；漏洞危害性評價則更多依賴漏洞自身危害性關系、漏洞與攻擊事件關聯數量、攻擊事件影響等

漏洞事件可能性評價目前包括網絡曝光度評價、事件關聯統計等

•建設全量漏洞情報庫

除此之外，華云安面向公網捕獲威脅與漏洞情報，通過關鍵詞和知識組構造底層知識圖譜，依賴圖譜梳理漏洞cvss、首次發布時間、公開利用事件、公布PoC、Exp等多個底層數據間的關聯關系，用于模型計算。
 
傳統的漏洞優先級大多采用CVSS評分進行評估，而這樣“重漏洞輕資產”的評估方式則導致結果過于片面。任何漏洞只有依存在實體或非實體的資產上才有價值。因此華云安首創了基于風險的優先級評估方法，方法分為資產維度和威脅維度：資產維度包含了“設備類型、設備能力、設備作用三個子項的評分；而威脅維度則會按照網絡曝光度、資產暴露度、資產漏洞等級進行評分，所有的評分將采用深度學習模式進行動態調整，深度學習的融合為算法提供了無限的演進性，隨著時間的推移使每個企業都能夠擁有適合自身的優先級評估方式，使計算結果更加落地。

 
風險評估指標

華云安基于大數據和知識圖譜架構自主構建了一套面向企業客戶的威脅與漏洞管理系統——靈洞。靈洞根據優先級算法對漏洞進行分類分級，同時結合客戶的核心業務，為客戶指出漏洞影響業務的范圍和其產生的危害后果，告知其相應解決方案，滿足了海量數據的快速關聯和分析檢索的使用需求，幫助客戶關注“真正的風險”， 為漏洞精準識別和安全風險發現提供助力。

 
靈洞威脅與漏洞管理系統