從1995年出現(xiàn)漏洞掃描器以來(lái)，漏洞管理技術(shù)就在不斷發(fā)展，DAST、SAST、IAST、SCA、RBVM、VMaaS、VPT、威脅情報(bào)等新興技術(shù)和廠商不斷涌現(xiàn)，生態(tài)格局在不斷完善成熟。

從實(shí)際效果來(lái)看，現(xiàn)行的漏洞管理技術(shù)及創(chuàng)新在真正徹底解決用戶的痛點(diǎn)和問題上，差距仍然較遠(yuǎn)，并沒有帶來(lái)顛覆性的改變。

2022年11月10日，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）網(wǎng)絡(luò)安全執(zhí)行助理總監(jiān)Eric Goldstein在CISA官網(wǎng)上發(fā)布博文，稱漏洞管理的生態(tài)格局正在改變。

在當(dāng)前風(fēng)險(xiǎn)環(huán)境中，各種規(guī)模的組織都面臨著管理新漏洞的數(shù)量和復(fù)雜性的挑戰(zhàn)。具有成熟漏洞管理計(jì)劃的組織尋求更有效的方法來(lái)對(duì)工作進(jìn)行分類和優(yōu)先排序。較小的組織很難理解從哪里開始以及如何分配有限的資源。幸運(yùn)的是，有一條通往更高效、更自動(dòng)化、更優(yōu)先的漏洞管理的道路。我們與政府和私營(yíng)部門的合作伙伴合作，很高興概述推進(jìn)脆弱性管理生態(tài)系統(tǒng)的三個(gè)關(guān)鍵步驟：

• 首先，必須在漏洞管理中引入更大的自動(dòng)化，包括通過擴(kuò)大使用通用安全建議框架CSAF（Common Security Advisory Framework）
• 其次，必須通過廣泛采用漏洞利用交換VEX（Vulnerability Exploitability eXchange），使組織更容易理解特定產(chǎn)品是否受到漏洞的影響
• 第三，必須通過使用利益相關(guān)者特定漏洞分類SSVC（Stakeholder-Specific Vulnerability Categorization），包括優(yōu)先考慮CISA的已知漏洞（KEV）目錄中的漏洞，幫助組織更有效地確定漏洞管理資源的優(yōu)先級(jí)

通過下文進(jìn)一步描述的這些進(jìn)展，我們將在漏洞管理方面取得必要的進(jìn)展，并減少我們的對(duì)手利用美國(guó)網(wǎng)絡(luò)的窗口。

1、實(shí)現(xiàn)自動(dòng)化：根據(jù)通用安全咨詢框架（CSAF）發(fā)布機(jī)器可讀安全建議

當(dāng)發(fā)現(xiàn)新的漏洞時(shí)，軟件供應(yīng)商會(huì)立即采取行動(dòng)：了解對(duì)產(chǎn)品的影響，識(shí)別補(bǔ)救措施，并與最終用戶溝通。時(shí)鐘在滴答作響：攻擊者經(jīng)常在首次公開報(bào)告后的幾個(gè)小時(shí)內(nèi)將漏洞發(fā)布可利用工具。

軟件供應(yīng)商不斷努力了解他們的產(chǎn)品是否受到新漏洞的影響。為了滿足這一時(shí)間框架，需要一種標(biāo)準(zhǔn)化的方法，讓供應(yīng)商以加速和自動(dòng)化的方式向最終用戶披露安全漏洞。

CSAF由OASIS CSAF技術(shù)委員會(huì)開發(fā)，是機(jī)器可讀安全建議的標(biāo)準(zhǔn)。簡(jiǎn)化了資產(chǎn)所有者的分類和補(bǔ)救流程。通過使用CSAF發(fā)布安全建議，供應(yīng)商將大大減少企業(yè)了解影響和推動(dòng)及時(shí)補(bǔ)救所需的時(shí)間。

2、澄清影響：使用漏洞利用交換（VEX）來(lái)傳達(dá)產(chǎn)品是否受到漏洞的影響，并啟用優(yōu)先漏洞響應(yīng)

VEX允許供應(yīng)商斷言特定漏洞是否影響產(chǎn)品；并非所有漏洞都是可利用的，并使組織面臨風(fēng)險(xiǎn)。供應(yīng)商可以發(fā)布VEX公告，以機(jī)器可讀、自動(dòng)化方式說明產(chǎn)品是否受到特定漏洞影響。VEX在CSAF中作為配置文件實(shí)現(xiàn)，是其更受歡迎用例之一，與支持機(jī)器可讀建議的現(xiàn)有工作保持一致。VEX的最終目標(biāo)是支持整個(gè)漏洞生態(tài)系統(tǒng)的更大自動(dòng)化，包括披露、漏洞跟蹤和補(bǔ)救。VEX數(shù)據(jù)還可以支持更有效地使用軟件材料清單（SBOM）數(shù)據(jù)。機(jī)器可讀的VEX文檔支持鏈接到SBOM和特定的SBOM組件。雖然SBOM向組織提供了有關(guān)他們可能面臨風(fēng)險(xiǎn)的信息，但VEX文檔幫助組織了解他們實(shí)際上受到已知漏洞的影響，以及是否需要根據(jù)利用狀態(tài)采取行動(dòng)進(jìn)行補(bǔ)救。

3、基于組織屬性的優(yōu)先級(jí)：使用漏洞管理框架，如特定于利益相關(guān)者的漏洞分類（SSVC），該框架使用漏洞利用狀態(tài)和其他漏洞數(shù)據(jù)來(lái)幫助確定補(bǔ)救工作的優(yōu)先級(jí)

2021年，CISA發(fā)布了具有約束力的業(yè)務(wù)指令（BOD）22-01，指示聯(lián)邦民事機(jī)構(gòu)對(duì)KEV進(jìn)行補(bǔ)救，并鼓勵(lì)所有組織將KEV目錄納入其漏洞管理框架。2021年11月3日已知被積極漏洞利用漏洞列表KEV的首次發(fā)布就源于CISA對(duì)SSVC的使用。

技術(shù)發(fā)展時(shí)間脈絡(luò)

我們以時(shí)間線的方式來(lái)梳理博文中涉及到的CVSS、SBOM、CVRF、CASF、VEX、SSVC、EPSS等七個(gè)相關(guān)技術(shù)：

可以看到，技術(shù)生態(tài)早已布局，新的拼圖正在逐漸完整。尤其是2021、2022兩年，相關(guān)技術(shù)文件密集發(fā)布，加速格局轉(zhuǎn)變。

機(jī)器可讀、標(biāo)準(zhǔn)化、互相關(guān)聯(lián)、更大程度的自動(dòng)化、生態(tài)成為關(guān)鍵詞。

通用漏洞評(píng)分系統(tǒng)CVSS

通用漏洞評(píng)分系統(tǒng)CVSS（Common Vulnerability Scoring System）是由FIRST組織發(fā)布維護(hù)的一套開放框架。用于表達(dá)軟件漏洞的特點(diǎn)和嚴(yán)重性（不是風(fēng)險(xiǎn)）。2005年發(fā)布v1版本，2015年發(fā)布v3版本，現(xiàn)行是v3.1版本。

盡管目前CVSS評(píng)分體系有多種詬病，但并不妨礙它成為全球應(yīng)用最廣泛的漏洞評(píng)分標(biāo)準(zhǔn)，并成為漏洞定級(jí)依據(jù)。

V3.1 CVSS由三組度量指標(biāo)組成：基礎(chǔ)、時(shí)間和環(huán)境?；A(chǔ)度量表示漏洞的內(nèi)在性質(zhì)，該特征隨著時(shí)間的推移和跨用戶環(huán)境保持不變，時(shí)間度量反映了隨時(shí)間變化的漏洞的特征，環(huán)境度量代表用戶環(huán)境獨(dú)有的漏洞特征。

VKB（Vulnerability Knowledge Base）已全部支持CVSS v2、v3.1標(biāo)準(zhǔn)，并提供自動(dòng)化評(píng)級(jí)工具。        

通用安全建議框架CSAF(Common Security Advisory Framework)

眾所熟知的CVE使用的是通用漏洞報(bào)告框架CVRF v1.1(Common Vulnerability Reporting Framework Version 1.1)，2017年9月13日，發(fā)布了CVRF V1.2，2022年8月1日，OASIS發(fā)布通用安全建議框架 CSAF v2(Common Security Advisory Framework Version 2.0 Committee Specification 03)。

我國(guó)華為公司是OASIS CSAF TC技術(shù)委員會(huì)成員之一。

CSAF并非是CVE的替代品，而是CVRF的替代品。它增強(qiáng)了CVRF的能力，包括不同的配置文件（例如，CSAF基礎(chǔ)、信息建議、事件響應(yīng)、VEX等）。CSAF還提供了CVRF不支持的幾項(xiàng)額外增強(qiáng)功能。此外，CSAF使用JSON與XML（CVRF中使用）。

CSAF的使命是標(biāo)準(zhǔn)化網(wǎng)絡(luò)安全漏洞問題的自動(dòng)披露，使個(gè)人和組織能夠以機(jī)器可讀格式成功披露和使用安全建議。這種方式下，資產(chǎn)所有者了解漏洞影響、推動(dòng)及時(shí)補(bǔ)救的流程、所需時(shí)間大大縮短，漏洞暴露時(shí)間也將大大縮短。

軟件材料清單(SBOM)

軟件材料清單(SBOM)是軟件組件和依賴性的正式的機(jī)器可讀清單，已成為軟件安全和軟件供應(yīng)鏈風(fēng)險(xiǎn)管理的關(guān)鍵組成部分。

2018年7月19日，NTIA召開SBOM啟動(dòng)會(huì)，召集利益相關(guān)方成立四個(gè)工作組。歷時(shí)三年多，2021年11月18日，發(fā)布第一輪SBOM可交付成果。

目前SBOM的主要安全用例是識(shí)別軟件供應(yīng)鏈中的已知漏洞和風(fēng)險(xiǎn)。雖然軟件漏洞是理解風(fēng)險(xiǎn)的關(guān)鍵組成部分，但并非所有漏洞都會(huì)讓用戶和組織面臨風(fēng)險(xiǎn)。在處理傳遞依賴關(guān)系時(shí)尤其如此。

這種是否影響的判斷除了依賴供應(yīng)商準(zhǔn)確判斷外，還可將一個(gè)軟件所涉及的漏洞與該漏洞的狀態(tài)聯(lián)系起來(lái)。將其稱為“漏洞可利用性交換”或VEX。VEX的核心是溝通給定軟件是否受到給定漏洞的“影響”。

SBOM常用標(biāo)準(zhǔn)有CPE、CycloneDX、SPDX、SWID、CoSWID、Grafeas。

VKB（Vulnerability Knowledge Base）已支持最新CPE 2.3標(biāo)準(zhǔn)。

漏洞利用交換VEX(Vulnerability Exploitability eXchange)

VEX的概念和格式是作為美國(guó)國(guó)家電信和信息管理局（NTIA）軟件組件透明度多利益相關(guān)者流程的一部分制定的。雖然VEX概念是為了滿足軟件材料清單（SBOM）使用方面的特殊需求而開發(fā)的，但VEX不限于與SBOM一起使用，也不一定包含在SBOM中。

VEX的主要用例是向用戶（例如，運(yùn)營(yíng)商、開發(fā)人員和服務(wù)提供商）提供附加信息，說明產(chǎn)品是否受到包含組件中特定漏洞的影響，如果受到影響，是否建議采取補(bǔ)救措施。在許多情況下，由于各種原因（例如，編譯器未加載受影響的代碼，或者軟件中的其他地方存在一些內(nèi)聯(lián)保護(hù)），上游組件中的漏洞在最終產(chǎn)品中不會(huì)被“利用”。

為了減少用戶調(diào)查不影響軟件產(chǎn)品的不可利用漏洞所花費(fèi)的精力，供應(yīng)商可以發(fā)布VEX。VEX是關(guān)于特定產(chǎn)品中漏洞狀態(tài)的斷言。狀態(tài)可以是：

• 未受影響–無(wú)需對(duì)此漏洞進(jìn)行補(bǔ)救
• 受影響–建議采取措施補(bǔ)救或解決此漏洞
• 已修復(fù)–表示這些產(chǎn)品版本包含漏洞修復(fù)程序
• 正在調(diào)查中–尚不清楚這些產(chǎn)品版本是否受

VEX已作為CSAF的一個(gè)概要實(shí)施，是機(jī)器可讀的。機(jī)器可讀性可實(shí)現(xiàn)自動(dòng)化，并支持集成到更廣泛的工具和流程中。用戶可以將SBOM中的組件數(shù)據(jù)與VEX中的漏洞狀態(tài)信息集成，以提供漏洞狀態(tài)的最新視圖。

特定利益相關(guān)者漏洞分類SSVC(Stakeholder-Specific Vulnerability Categorization)

優(yōu)先級(jí)判斷中最優(yōu)先使用的標(biāo)準(zhǔn)應(yīng)該是CVSS，但CVSS卻飽受詬病，導(dǎo)致其使用價(jià)值受限。典型問題如：

• CVSS將嚴(yán)重性作為其基本操作原則，并未就CVSS分?jǐn)?shù)如何提供決策提供明確建議
• CVSS基礎(chǔ)分?jǐn)?shù)是靜態(tài)的
• 高CVSS評(píng)分無(wú)法預(yù)測(cè)哪些漏洞將被普遍利用或被公開利用
• 對(duì)CVSS 3.0版評(píng)分的要素解釋不一致

SSVC旨在學(xué)習(xí)和改進(jìn)這些問題，可視為CVSS的一種衍生。漏洞管理的決策，不僅僅只考慮技術(shù)嚴(yán)重性，嚴(yán)重性應(yīng)僅作為漏洞響應(yīng)優(yōu)先級(jí)的一部分，必須清楚涉及到是誰(shuí)在做決策。與部署修補(bǔ)程序或其他安全緩解措施的組織相比，生產(chǎn)修補(bǔ)程序和修復(fù)軟件的組織顯然有不同的決策。例如，電力行業(yè)的組織與金融行業(yè)的組織有不同的優(yōu)先級(jí)。這些差異表明了一個(gè)要求：任何優(yōu)先級(jí)都必須充分反映不同利益相關(guān)者群體的不同決策和優(yōu)先事項(xiàng)。

SSVC的決策樹如下：

2021年11月3日，CISA根據(jù)SSVC推出了已知被積極利用漏洞列表KEV，從CVE漏洞庫(kù)中18萬(wàn)+個(gè)漏洞篩選出306個(gè)漏洞，目前列表已增長(zhǎng)到857個(gè)。

VKB（Vulnerability Knowledge Base）已推出對(duì)標(biāo)KEV的關(guān)鍵漏洞目錄。

漏洞利用預(yù)測(cè)評(píng)分系統(tǒng)EPSS(Exploit Prediction Scoring System)

漏洞處置的真實(shí)情況，既不能也不需要立即修復(fù)所有漏洞。首先，有太多的漏洞無(wú)法立即修復(fù)它們。研究表明，平均每月能夠修復(fù)5%至20%的已知漏洞。其次，只有一小部分（2%-7%的已發(fā)布的漏洞在野利用）。

在處置漏洞時(shí)，最佳優(yōu)先排序策略是什么？這個(gè)問題沒有一個(gè)唯一的答案，應(yīng)該通過一系列指標(biāo)來(lái)幫助為優(yōu)先級(jí)決策提供信息和指導(dǎo)。

EPSS用于預(yù)測(cè)評(píng)估軟件漏洞在野利用的可能性（概率）。目標(biāo)是幫助網(wǎng)絡(luò)維護(hù)者更好地確定漏洞補(bǔ)救工作的優(yōu)先級(jí)。雖然其他行業(yè)標(biāo)準(zhǔn)有助于分析漏洞的特征并提供嚴(yán)重程度的衡量標(biāo)準(zhǔn)，但它們?cè)u(píng)估威脅的能力有限。

EPSS填補(bǔ)了這一空白，使用來(lái)自CVE的威脅信息和現(xiàn)實(shí)世界真實(shí)的漏洞利用數(shù)據(jù)。EPSS模型產(chǎn)生的概率評(píng)分在0到1（0到100%）之間。分?jǐn)?shù)越高，漏洞被利用的可能性就越大。

通過采用EPSS作為優(yōu)先級(jí)策略，可以節(jié)省企業(yè)資源。與使用基于CVSS的策略相比，使用EPSS v2需要組織修補(bǔ)不到20%（47/253）的漏洞。

VKB（Vulnerability Knowledge Base）已全面支持EPSS v2。