使用人工智能来消除当前漏洞优先级排序中的噪音和混乱，证实了人工智能辅助漏洞分类的未来值得期待。

2024年每月可能发布2900个新漏洞，不能期望安全团队对全部漏洞进行分析和分类。他们每月能处理20个漏洞就已经是一项成就。

有效的补丁管理是减少漏洞的一种公认方法。但这几乎是不可能实现的。问题在于已知漏洞的数量之多，以及单个安全团队很难确定首先修补哪个漏洞。

Coalition是一家拥有自主安全研究能力的网络保险公司，致力于这个问题的研究。如果公司能够帮助客户改善补丁周期，就会减少索赔并增加利润。困难在于漏洞问题日益恶化，如果不介入漏洞管理，必然会出现更多的漏洞。

为了量化由漏洞数量产生的威胁，而不是单个漏洞中的威胁，Coalition的研究人员首先训练了自回归综合移动平均 (ARIMA) 模型，该模型通常用于预测时间序列数据。报告的结果(https://info.coalitioninc.com/rs/566-KWJ-784/images/Coalition_Cyber-Threat-Index_2024.pdf )预测2024年将发布34,888个新漏洞。平均每月有2,900个漏洞，比2023年前10个月增加了25%。

对于安全团队来说，由于数量太多，以至于没有额外帮助就不可能有效地进行分类——但这样做却是至关重要的。Coalition自己的索赔数据显示，即使有一个未修补的关键漏洞，投保人提出索赔的可能性也会增加33%。

现在，“额外帮助”更多的是令人困惑而不是有帮助。其中一些来自媒体报道，一些来自与 CVE数字相关的CVSS分数。前者的问题是威胁可能被夸大，而后者的CVE编号和CVE数据库并不总是100%可靠。

2023年10月的Exim漏洞就是一个例子。ZDI于2023年9月27日发布了一份RCE公告，其 CVE编号和CVSS为9.8，但没有提供更多信息。从官方 VE数据库看，数字只是显示：
“Reserved”（JSON 描述显示“state”:“RESERVED”,“owning_cna”:“[REDACTED]”）。
当时以至于5个月后的今天都是这样的说法。从媒体看，ArsTechnica 发表了一篇标题为“ Exim中的严重漏洞威胁全球超过25万个电子邮件服务器”的报道。9.8CVSS和250,000 个易受攻击的服务器，这两个风险因素的组合足以敲响警钟。

Coalition进行了更深入的研究。这个漏洞只影响Exim的某些配置。该公司扫描了自己的客户，发现只有四个基础设施存在易受攻击的配置。对于其他客户来说，对媒体做出反应、搜索CVE（常见漏洞和暴露）数据库，并试图弄清楚这个漏洞与他们自己的IT资产的直接相关性，只是一种资源浪费。

通用漏洞评分系统（CVSS）是由First Org拥有和运营的一种度量标准。它是确定漏洞严重程度的评分方法。但是，该评分不是由任何单个组织决定的，也不是存储在任何单一位置。默认情况下，由NIST运营的国家漏洞数据库（NVD）是CVSS评分的真实来源。但是 NVD从CVE数据库获取其条目，如果没有完成CVE条目，就没有NVD条目——因此也就没有即时可信任和可验证的CVSS评分。

尽管如此，安全团队在漏洞补丁分类中仍将被告知要使用CVSS作为主要因素——评分越高，被利用的可能性越大，潜在危害也越大——而这很可能是漏洞研究人员给出的评分。

由于“负责任的披露”、向CVE数据库发布的可能延迟以及CVSS评分中的主观性因素，不可避免地会出现延迟和混乱。“CVE评分的延迟往往意味着防御者在漏洞管理方面面临两场艰苦的战斗。首先，他们需要一种优先级确定方法来确定每月发布的数千个CVE中应该修补哪些，”Coalition 指出。“其次，他们必须在威胁行为者利用这些CVE来针对他们的组织之前修补这些CVE。”

Coalition得出结论，必须有一种更好的方式，能够及时地将可操作的漏洞信息传递给正确的人。

还有另一个广泛使用的威胁指标：CISA的KEV（已知利用漏洞）列表。它的主要弱点是它以美国为中心，而且是滞后的——它表明漏洞正在被利用，而不是警告它们可能被利用。“漏洞优先级确定的问题是如何权衡和结合这些不同的数据来源，这是一个非常适合机器学习的问题，”Coalition建议。

这是Coalition的漏洞风险优先级确定解决方案的基础。它扫描不同的供应商安全建议、CVSS评分、KEV目录和其他来源，将它们与以前的CVE描述进行比较，并使用机器学习生成 Coalition 漏洞利用评分系统（ESS）。

它的目标是成为安全风险管理人员的早期真实来源，生成漏洞可用性的两个分数：获得漏洞利用工具的难易度和使用漏洞利用工具的难易度。它也是动态的，并随着新信息的出现不断更新：“这与CVSS等传统方法不同，CVSS的评分在发布后往往保持不变。”

这并不是Coalition方法的终点。它还运营着一个蜜罐网络。这些是捕捉互联网上恶意意图的绝佳工具，但在区分良性意图和恶意意图，以及识别任何恶意意图背后的具体目的方面存在困难。尽管如此，它仍然是获得清晰视野的一个来源，尽管目前往往只是事后诸葛亮。

在Progress发布安全建议的两周多前，Coalition的蜜罐网络检测到对MOVEit技术的扫描量增加了1,000%，但当时并没有意识到其重要性。随后Cl0p感染的速度表明，攻击者已经极大的领先于受害者。

Coalition现在正在研究如何在蜜罐活动中发现恶意意图，即使不了解该活动的目的。“我们正在逐步推出启用生成式人工智能的标记规则，使我们能够快速审查和分类蜜罐流量。增强的流量标记将使我们能够更好地实时理解异常的蜜罐流量，”该公司表示。

将早期活动警告与动态伤害概率评分相结合，无疑将增强漏洞分类工作的准确性和及时性。Coalition是一家网络安全保险公司，其主要动机是提高客户的安全性，减少他们对保险的索赔，从而增加自己的利润。

尽管如此，他们也使用了自有资金来开发这种方法，这一事实表明，使用人工智能来消除当前漏洞优先级排序方法的噪音和混乱，对人工智能辅助的漏洞分类方法的未来，是令人兴奋。

* 本文为金东东编译，原文地址：https://www.securityweek.com/toward-better-patching-a-new-approach-with-a-dose-of-ai/
图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。