NIST計劃使用人工智能計算漏洞CVSS評分
責編:gltian |2018-11-08 11:24:55美國國家標準與技術研究院(NIST)計劃使用IBM Watson來評估公開披露的安全漏洞的嚴重程度,并給出嚴重程度的分數。
CVSS分數
公開的信息安全漏洞通常被指定一個CVE編號作為ID以方便研究者進行追蹤,以及一個通用漏洞評分系統(CVSS)分數,方便企業根據漏洞的嚴重程度確定響應和資源的優先順序。
CVSS分數范圍為0到10,通過衡量以下因素進行計算:
利用漏洞進行攻擊的復雜程度;
攻擊是否需要交互;
攻擊對目標系統的機密性,完整性和可用性以及數據的影響程度。
目前CVSS評分仍由NIST的分析師人工給出,這個過程非常耗時。根據美國國家標準與技術研究院計算機安全部門負責人馬修·舒爾(Matthew Scholl)的說法,對于簡單漏洞,分析師需要5到10分鐘來計算分數,而對于新的、不常見的和復雜的漏洞則需要更長的時間。隨著披露的漏洞數量逐年增加(尤其是物聯網的出現),NIST分析師的負擔也越來越重。
使用IBM Watson計算CVSS分數
為了解放分析師的時間并讓他們專注于更重要的事情,NIST正在測試像Watson這樣的人工智能系統是否可以接管這項工作。
到目前為止,結果令人振奮。
Scholl告訴NextGov,Watson接受測試任務已有一段時間了,在這段時間內,Watson對該研究院分析師的歷史報告、數據和CVSS分數進行仔細研究,并給出了自己的評分。測試顯示,Watson在常見漏洞方面表現非常出色,但對新型和/或復雜漏洞仍難以給出恰當評分。
幸運的是,Watson還為每個CVSS評分提供一個置信百分比。如果某個評分的置信百分比低于預設的閾值(>90%),Watson會指派一位分析師人工看一看,并給出一個合適的分數。
如果該計劃能與NIST其他系統安全融合并完成工作任務,那么NIST計劃在2019年10月之前啟用Watson對大多數公開披露的漏洞進行風險評分。
NIST也正在考慮將該技術應用于NIST其他領域中。