Vulnerability Management Chaining: An Integrated Framework for Efficient Cybersecurity Risk Prioritization

本文提出了一种名为“漏洞管理链”的决策树框架，通过系统整合 KEV、EPSS 和 CVSS 数据，在保持 85.6% 覆盖率的同时将紧急修复工作量减少约 95%，显著提升了漏洞优先级排序的效率。

要点

这篇论文提出了一种名为**“漏洞管理链条”（Vulnerability Management Chaining）**的新方法，旨在帮助网络安全团队在海量漏洞中快速找到真正危险的“坏蛋”，而不是被成千上万个“看起来像坏蛋”的警报淹没。

为了让你轻松理解，我们可以把网络安全团队想象成一家大型医院的急诊部，把漏洞想象成病人，把黑客攻击想象成传染病。

1. 现在的困境：急诊室被淹没了

想象一下，医院每天收到 28,000 多个“病人”（漏洞报告）。

• 旧方法（CVSS 评分）： 就像医生只看“体温计”。只要体温超过 38 度（评分 7.0 以上），就一律当作重症处理。
  • 问题： 结果发现，这 28,000 个病人里，有 16,000 多个体温都偏高。医生们累得半死，把所有人都拉进 ICU，但最后发现，真正会传染（被黑客利用）的只有几十个。大部分“重症”其实只是感冒，根本不需要急救。
• 新方法（EPSS 预测）： 就像看“天气预报”。预测未来 30 天谁可能会发烧。
  • 问题： 预报很准，但偶尔会误报（把健康人当成病人），也会漏报（没预报到的突然发烧）。
• 已知名单（KEV 目录）： 就像“通缉令”。只抓那些已经被证实正在作案的坏蛋。
  • 问题： 通缉令是“事后”才发的。有些新出现的坏蛋还没上通缉令，但已经在作案了。

结果： 安全团队（医生）被海量警报压垮，真正紧急的威胁反而可能被淹没在噪音中。

2. 新方案：智能分诊系统（漏洞管理链条）

这篇论文提出的“漏洞管理链条”，就像给急诊室设计了一个智能分诊流程图（决策树），把三个工具结合起来用，分两步走：

第一步：先问“有没有在作案？”（威胁过滤）

医生不再只看体温，而是先查两个名单：

1. 查“通缉令”（KEV）： 这个漏洞是不是已经被证实被黑客利用了？如果是，直接拉去急救室！
2. 查“天气预报”（EPSS）： 如果不在通缉令上，那未来 30 天被利用的概率高吗？（论文设定了一个阈值，比如概率超过 8.8%）。如果概率高，也拉去急救室！
   • 如果两个都没中： 说明这个漏洞目前很安全，或者只是理论上的风险。直接送去普通门诊，按常规流程排队处理即可。

效果： 这一步直接过滤掉了 95% 的“假警报”，让医生只关注那 5% 真正有风险的漏洞。

第二步：再问“后果有多严重？”（严重程度评估）

对于那些被拉进“急救室”的嫌疑人，医生还要再问一句：“你虽然可能作案，但你造成的破坏大吗？”

• 这里使用CVSS 评分（就像看病人的破坏力）。
• 如果评分很高（≥7.0），说明破坏力极大，立即执行最高级别抢救（Critical Priority）。
• 如果评分一般（<7.0），说明虽然可能被利用，但破坏力有限。可以安排到普通病房观察（Monitor），或者按常规时间处理，不用半夜把医生叫起来。

3. 这个新系统有多厉害？（实验结果）

研究人员用真实世界的数据（28,377 个漏洞）测试了这个系统，结果令人震惊：

• 效率提升 18 倍： 以前医生要处理 16,000 个“高危”警报，现在只需要处理 850 个。工作量减少了95%！
• 没有漏掉坏人： 虽然处理的数量少了，但依然抓住了85.6% 真正被黑客利用的漏洞。
• 发现隐藏的坏蛋： 最精彩的是，通过把“通缉令”和“天气预报”结合起来，系统发现了48 个单独用任何一个工具都抓不到的漏网之鱼。这就像侦探把两个线索拼在一起，才发现了真凶。

4. 总结：为什么这很重要？

这篇论文的核心思想是：不要单打独斗，要组合拳。

• CVSS 告诉你“这个炸弹威力有多大”（理论风险）。
• KEV 告诉你“这个炸弹正在被引爆”（事实证据）。
• EPSS 告诉你“这个炸弹下一秒可能被引爆”（预测风险）。

以前的做法是只看“炸弹威力”，导致大家手忙脚乱。
现在的做法是：先看有没有人正在引爆（KEV/EPSS），再看威力大不大（CVSS）。

最终好处：
任何公司，无论大小，只要用免费的公开数据，就能把这个“智能分诊系统”装进自己的电脑里。它能让安全团队从“疲于奔命”变成“精准打击”，把宝贵的精力集中在真正致命的威胁上，而不是浪费在那些只是“看起来吓人”的漏洞上。

一句话总结：
这就好比给医院装了一个智能安检门，先把所有没危险的“感冒病人”挡在门外，只让那些“正在发烧”且“可能传染”的人进来，最后再根据病情轻重安排床位。既省了医生力气，又没漏掉任何重症患者。

技术摘要

漏洞管理链式法（Vulnerability Management Chaining）：一种高效网络安全风险优先级的集成框架

1. 研究背景与问题陈述

随着常见漏洞和暴露（CVE）数量的指数级增长，安全团队在分配有限资源以应对最关键风险时面临巨大挑战。当前的漏洞管理方法存在以下主要局限性：

• CVSS（通用漏洞评分系统）的局限性：CVSS 主要衡量漏洞的理论严重程度，而非实际被利用的可能性。这导致大量被标记为“高”或“严重”的漏洞实际上从未被攻击者利用，造成了资源浪费和警报疲劳。
• KEV（已知被利用漏洞）目录的不足：虽然美国网络安全和基础设施安全局（CISA）的 KEV 目录提供了确凿的利用证据，但其本质是滞后性的（仅在攻击发生后记录），且覆盖范围有限，可能遗漏针对特定目标的未公开攻击。
• EPSS（利用预测评分系统）的不确定性：EPSS 利用机器学习预测漏洞在 30 天内被利用的概率，虽然具有前瞻性，但作为概率模型存在误报和漏报，且可能无法捕捉新型攻击模式。

核心问题：组织缺乏一种系统性的方法，能够将 CVSS 的严重性、KEV 的确证利用和 EPSS 的预测利用有机结合，从而在保持全面覆盖的同时，显著提高漏洞修复的优先级效率。

2. 方法论：漏洞管理链式框架 (VMC)

本文提出了一种名为**漏洞管理链式（Vulnerability Management Chaining, VMC）**的决策树框架。该框架通过两阶段评估过程，系统性地整合了 CVSS、EPSS 和 KEV 三种数据源。

2.1 设计原则

• 多源情报集成：结合技术严重性（CVSS）、预测情报（EPSS）和确证利用证据（KEV）。
• 威胁优先：首先评估利用的可能性，再评估漏洞的严重性，避免在理论上严重但无实际威胁的漏洞上浪费资源。
• 开源数据驱动：仅使用免费公开的数据源，确保任何规模的组织均可立即采用。

2.2 决策树流程

框架包含两个主要阶段：

1. 第一阶段：基于威胁的过滤（Threat-Based Filtering）

   • 检查漏洞是否在 KEV 目录中（确证利用）。
   • 或者，检查 EPSS 分数是否 $\ge 0.088$（预测高利用概率）。
   • 结果：满足任一条件的漏洞进入第二阶段；不满足的漏洞被归类为“推迟（Defer）”，进入标准补丁周期。

2. 第二阶段：漏洞严重性评估（Severity Assessment）

   • 对通过第一阶段的漏洞，检查其 CVSS 基础分数是否 $\ge 7.0$（高严重性）。
   • 结果分类：
     • 关键优先级 (Critical)：KEV 中且 CVSS $\ge 7.0$。需立即修复（通常数天内）。
     • 高优先级 (High)：EPSS $\ge 0.088$ 且 CVSS $\ge 7.0$。需计划内修复（通常 2-4 周）。
     • 监控 (Monitor)：有利用证据（KEV 或高 EPSS）但 CVSS $< 7.0$。需跟踪威胁环境变化。
     • 推迟 (Defer)：无利用证据且低严重性。按标准周期处理。

3. 实验设计与数据

• 数据集：收集了 2022 年 4 月 1 日至 2023 年 4 月 30 日期间发布的 28,377 个 CVE。
• 真实利用数据（Ground Truth）：通过审查主要网络安全厂商的公开报告，构建了包含 90 个 被证实被利用的漏洞的数据集。
• 对比基线：
  • 传统 CVSS 方法（CVSS $\ge 7.0$）。
  • 仅 KEV 方法。
  • 仅 EPSS 方法（阈值 0.088）。
• 评估指标：
  • 效率 (Efficiency)：被优先处理的漏洞中，实际被利用的比例（衡量资源分配的准确性）。
  • 覆盖率 (Coverage)：被优先处理的漏洞中，捕获实际被利用漏洞的比例（衡量安全性）。

4. 关键结果

实验结果表明，VMC 框架在效率和覆盖率之间取得了极佳的平衡：

4.1 性能对比

方法	效率 (Efficiency)	覆盖率 (Coverage)
CVSS $\ge 7.0$	0.5%	90.0%
仅 KEV	74.3%	86.7%
仅 EPSS ($\ge 0.088$)	4.9%	48.9%
VMC (本文方法)	9.1%	85.6%

• 效率提升：与传统 CVSS 方法相比，VMC 的效率提升了 18 倍（从 0.5% 提升至 9.1%）。
• 覆盖率保持：VMC 保持了 85.6% 的高覆盖率，与 CVSS 的 90% 相当，但处理的漏洞数量大幅减少。
• 工作量减少：组织可以将紧急修复的工作量减少约 95%（从 16,182 个漏洞减少到约 850 个），同时仍能捕获绝大多数实际被利用的漏洞。

4.2 集成效应分析

• 互补性验证：KEV 和 EPSS 识别的被利用漏洞集合存在显著差异。
  • KEV 独有：45 个（历史确证证据）。
  • EPSS 独有：16 个（预测的新兴威胁）。
  • 集成增益：通过结合两者，额外捕获了 48 个 单独使用任一方法都无法发现的被利用漏洞（占验证数据集的 53.3%）。这证明了多源情报集成的必要性。

4.3 严重性过滤的有效性

• 通过 CVSS 阈值（$\ge 7.0$）进行二次过滤，成功将部分虽有利用迹象但影响较低（CVSS < 7.0）的漏洞降级为“监控”或“推迟”，进一步优化了资源分配。

5. 主要贡献与意义

5.1 理论贡献

• 提出了首个系统性的集成框架，将 CVSS、EPSS 和 KEV 整合到一个统一的决策树中，解决了单一方法在漏洞管理中的片面性问题。
• 实证证明了“威胁优先”（先判断是否被利用，再判断严重程度）优于传统的“严重性优先”策略。

5.2 实践意义

• 极高的可操作性：框架完全基于开源数据（CISA KEV, FIRST EPSS, NIST CVSS），无需昂贵的商业威胁情报订阅，任何组织均可立即部署。
• 显著的资源优化：通过减少 95% 的紧急修复工作量，安全团队可以将精力集中在真正关键的威胁上，进行更深入的分析和缓解。
• 填补安全空白：通过集成 KEV 和 EPSS，能够发现单一数据源遗漏的 48 个被利用漏洞，显著提升了防御的完整性。

5.3 局限性

• 依赖公开报告的利用数据，可能存在未报告的利用情况。
• 决策树采用二元阈值，可能丢失部分上下文信息（如资产关键性、网络暴露面），未来可结合组织特定情境进行优化。

6. 结论

本文提出的“漏洞管理链式”框架为解决现代网络安全中漏洞数量爆炸与资源有限的矛盾提供了有效的解决方案。通过系统性地整合确证利用证据、预测利用概率和技术严重性，该框架在保持高覆盖率（85.6%）的同时，将修复效率提升了 18 倍。这一方法不仅适用于大型组织，也因其开源和简化的特性，成为中小型企业提升网络安全态势的实用工具。