PART 01 现状与问题

随着网络空间安全对抗的激烈程度和人工智能技术的发展，网络攻击呈现常态化、组织化、智能化等特点，其破坏性直接影响现实世界。网络攻击通常都是利用漏洞展开，因此快速发现和定位漏洞风险，避免漏洞风险暴露，让攻击者有可乘之机，是网络安全运营中一项重要任务。

当前，我国各级网络安全监/主管机构和各级运营者都异常重视漏洞排查工作，漏洞排查已经成为一种常态化，专项化工作。

合规驱动：以“两高一弱”为代表的合规漏洞清单为驱动力。“两高一弱”是指高危漏洞、高危端口和弱口令，是困扰网络安全的一项顽瘴痼疾，广泛存在且容易被攻击者利用。相关政策要求各级组织及时发现并消除网络和信息系统“两高一弱”问题，实现问题清零。部分行业还有勒索软件漏洞、APT漏洞等专项排查行动。

情报驱动：以漏洞情报或威胁情报为驱动力。在对漏洞情报或威胁情报研判的基础上，根据运营者资产和安全管理的特点，综合考虑风险优先级排布，形成排查任务，具备动态和及时性的特点。

漏洞排查、整改和上报工作的常态化，在与考核相挂钩的情况下，给运营者带来巨大的压力。

当前，使用漏洞扫描工具是主要排查手段。实际上，漏洞排查往往需要在整个网络空间内，内外网不同的场景下展开。同时由于漏洞和排查对象的多样性，使得单一化的漏洞扫描手段难以满足漏洞排查的要求，主要表现在：

扫描工具种类和数量受限：排查漏洞和资产往往是多样性的，如系统漏洞、数据库漏洞、开源组件漏洞、docker漏洞、自研应用系统漏洞等等，一种扫描技术难以覆盖，需要有不同类型的扫描工具来排查。同时覆盖的网络空间较大，资产数量较多，为满足时效性要求，往往需要多个扫描工具并发进行排查。而多种类、多数量的扫描工具往往给运营者带来较大的采购和维护成本。

扫描工具的扫描技术受限：扫描工具的扫描插件往往只能覆盖排查清单中的部分漏洞，导致有些漏洞无法进行排查；扫描工具的扫描插件开发需要一定的时间，对于情报驱动型的排查，难以满足时效性要求；国外扫描工具无法扫描国内产品漏洞。

可以看到，漏洞排查既需要考虑合规和安全性要求，又需要考虑成本和效率问题，且涉及到部门间的协作，是一个系统性的工作，应为这项常态化的工作，建立从长效性机制。

PART 02 “关联分析”漏洞排查解决方案

摄星科技“关联分析”使用数据分析的方法，通过关联漏洞和资产指纹特征，进行风险定位。由于不涉及到扫描技术，避免了扫描工具种类和数量受限、扫描工具的扫描技术受限等问题。从而达到快速、全面、低成本进行漏洞排查的目的。使用关联分析需要具备两个基本条件：

覆盖网络空间的资产和漏洞数据：当前，绝大部分运营者通过对接CMDB、主机安全、漏洞扫描、资产测绘等工具和系统汇聚了较全面、较新的资产和漏洞数据，使得在一个平台上展开整个网络空间的漏洞排查成为可能；
高质量的漏洞和资产特征库：在大数据和人工智能技术的加持下，形成XVD+和CPE+的漏洞和资产指纹特征库，使得关联分析具备了必要的、关键条件。

在上述条件下，在平台的数据标准化、关联分析算法的支撑下，用户只需要如下三步就可以完成常态化的漏洞排查工作：