美国国家标准与技术研究院(NIST)计划使用IBM Watson来评估公开披露的安全漏洞的严重程度,并给出严重程度的分数。
CVSS分数
公开的信息安全漏洞通常被指定一个CVE编号作为ID以方便研究者进行追踪,以及一个通用漏洞评分系统(CVSS)分数,方便企业根据漏洞的严重程度确定响应和资源的优先顺序。
CVSS分数范围为0到10,通过衡量以下因素进行计算:
利用漏洞进行攻击的复杂程度;
攻击是否需要交互;
攻击对目标系统的机密性,完整性和可用性以及数据的影响程度。
目前CVSS评分仍由NIST的分析师人工给出,这个过程非常耗时。根据美国国家标准与技术研究院计算机安全部门负责人马修·舒尔(Matthew Scholl)的说法,对于简单漏洞,分析师需要5到10分钟来计算分数,而对于新的、不常见的和复杂的漏洞则需要更长的时间。随着披露的漏洞数量逐年增加(尤其是物联网的出现),NIST分析师的负担也越来越重。
使用IBM Watson计算CVSS分数
为了解放分析师的时间并让他们专注于更重要的事情,NIST正在测试像Watson这样的人工智能系统是否可以接管这项工作。
到目前为止,结果令人振奋。
Scholl告诉NextGov,Watson接受测试任务已有一段时间了,在这段时间内,Watson对该研究院分析师的历史报告、数据和CVSS分数进行仔细研究,并给出了自己的评分。测试显示,Watson在常见漏洞方面表现非常出色,但对新型和/或复杂漏洞仍难以给出恰当评分。
幸运的是,Watson还为每个CVSS评分提供一个置信百分比。如果某个评分的置信百分比低于预设的阈值(>90%),Watson会指派一位分析师人工看一看,并给出一个合适的分数。
如果该计划能与NIST其他系统安全融合并完成工作任务,那么NIST计划在2019年10月之前启用Watson对大多数公开披露的漏洞进行风险评分。
NIST也正在考虑将该技术应用于NIST其他领域中。