CVE漏洞的评分机制论述

前后文指的是游泳健将博尔特训练时1天必须要11500卡的卡路里(平常人约两千卡),要是没有游泳健将这一前后文,医生肯定会觉得博尔特的饮食不健康。同样,CVE的评价也是一样的道理,作为评价单个漏洞起着重要的作用,但是测定漏洞对企业自身的风险有很大的不足。文章开头的CVE-2016-6662MYSQL脆弱性,根据30多个前后文,以CVE评价为10分为起点,结合前后文重新评价CPS(ContextualPriotizionScore)为7分。基于漏洞本身属性、资产前后文、网络前后文、组织前后文、外部威胁信息前后文。


以专家的经验形成机械学习专家,以上5个方向独立判断分数,聚合,最终形成CPS,具体来说,可以看到该公司开源了名为淘金热Batea)的工具,工具根据Nmap的扫描报告,计算CVE分数在企业的上下环境中必须要优先修复的漏洞资产。首先,将nmap报告处理为Python对象,然后根据IsolationForest的异常检测算法进行筛选。在例子中,对于1000多个知识产权地址,首先进行简单的二维分析,以知识产权地址的最后一个c段为横向坐标,x坐标为0~300,代表知识产权地址的末位数值,y轴代表端口数量,大多数知识产权地址只开放有限的端口,因此倾向于0,而分散点代表开放的端口越多,就越有可能异常。


根据不断添加更多维度的模型,您可以根据模型推测开放相同服务的资产,例如端口数量和服务名称数量。结合脆弱性CVE的维度,CVE分数越高,端口信息瞌睡值越大的地区(下图标红部分)的资产成为优先关注和修复脆弱性的资产清单与学生时代的抄写作业相比,每个人都自己做问题,有正确的做法,也有错误的做法,但是坏的学生去抄写作业时,发现90%的人选择了答案,这一答案正确的概率会变高。同样,在SaaS服务时代,如果多个组织选择实际修复的漏洞,很容易起泡,成为必须要优先修复的漏洞。根据深度学习算法-GraBantBosun官网edTregression(重复的决策树算法,该算法由多棵决策树构成,所有树的结论加起来制作最终答案)输入用户的选择、喜好、用户历史修复的情况,预测最应优先修复的漏洞。


没有独特的偶然,着名的脆弱性管理厂商rapid7也在2020年发表了社群版的脆弱性评价社群AttackerKB,向各安全员工提供反馈对脆弱性影响的社群评价。包括漏洞对攻击者的价值、是否在野外利用、漏洞分析的详细信息等。

分享: