【1月4日-技术盲盒】VPT评级介绍

感谢分享                                  

能否提供更加详细的资料以了解该评级方法。

通用漏洞评分系统 (CVSS) 是一个公共框架 ，用于评估软件中安全漏洞的严重性。这是一个中立的评分系统，让所有企业能够使用相同的评分框架对各种软件产品（从操作系统、数据库再到 Web 应用程序）的 IT 漏洞进行评分。

CVSS基本分值是静态的，不随时间的推移而变化。单通过CVSS评分进行风险排序，不考虑实际的时间和环境因子，会导致过多的高危漏洞和严重漏洞，导致在有限的资源下漏洞管理效率低下。

深信服aES通过高质量的漏洞中台库+可解释的脆弱性排序技术，实现漏洞优先级自排序的效果。基于ssvc理念，外加决策树模型，对于每个漏洞给出一个定性的结果，而非一个定量的值，使每条结果都可解释，并通过NLP/GPT技术，从海量的安全新闻中，通过机器学习的方式提炼出漏洞相关的关系图谱。

对于每条漏洞的决策值，都会给出一个解释的话术。如Log4j远程代码执行漏洞(CVE-2021-44228) --》动作：响应 --》话术：此漏洞存在于核心资产上，并且此漏洞组件对外网暴漏端口，且此漏洞的技术影响较大，而且此漏洞在外有公开的poc以及被勒索病毒（ lockbit）和APT组织（Lazarus）成功利用过；通过此漏洞，系统可被完全控制，建议立即响应处置。

下图为VPT评级的漏洞详情页面，可以看到CVSS评分虽然很高，但通过VPT评级，仅为观察即可，可以很大程度上帮助运维管理人员对漏洞管理和是否需要修复做出评判依据。