gayatrilakshmanan/aact-advisory-applicability-classification-and-triage

# AACT — 咨询适用性分类与分诊 一种基于 NLP 对新兴漏洞咨询进行分诊的方法论，利用信号提取和内部技术匹配来对咨询适用性进行分类，并将定制通知路由至受影响的团队。 ## 概述 AACT 是一种已发布的、用于在新兴漏洞咨询被扫描程序检测为发现项之前对其进行分诊的方法论。它使用自然语言处理从非结构化的咨询文本中提取结构化信号（包括 CISA 已知被利用漏洞更新、NIST 国家漏洞数据库条目、供应商安全咨询、威胁报告），将提取的信号与内部技术上下文进行匹配，跨定义的类别对其适用性进行分类，并生成定向发送至受影响的应用程序、基础设施或平台团队的定制通知。 AACT 专为以下环境设计：对新兴漏洞咨询的快速、结构化响应必须是可防御、可追溯且为实际技术相关性量身定制的——尤其是那些具有监管和合规义务、需要证明其具备主动漏洞防御能力的美国组织。 AACT 作为一种命名方法论提出，专注于漏洞管理中扫描前咨询分诊层，是对现有基于扫描的优先级排序框架的补充。 ## 配套方法论 AACT 负责处理*新兴*漏洞咨询的分诊。对于已由扫描程序检测并作为发现项展示的*已知*漏洞的优先级排序，请参阅配套方法论 **FIRVP — 联邦情报与受管数据漏洞优先级排序**：。 结合在一起，FIRVP 和 AACT 提供了覆盖受监管行业漏洞全生命周期的方法论：AACT 在上游对新兴咨询进行分诊，FIRVP 则对检测到的漏洞进行修复优先级排序。 ## 为什么选择 AACT 漏洞管理工作流通常从扫描程序检测到漏洞并将其作为发现项展示时开始。但是，等到扫描程序检测到已知漏洞时，组织可能已经错失了数天或数周的咨询信号——即从发布咨询到扫描程序在环境中检测到受影响技术之间的这段时间。 对于许多组织而言，对新兴漏洞咨询的响应是被动的且不一致的：安全团队手动阅读咨询，试图确定其相关性，然后广泛广播通知。受影响的团队收到的咨询可能适用于也可能不适用于他们的系统。重要的咨询被遗漏；无关的咨询则制造了噪音。 AACT 通过提供一种结构化的、方法论驱动的咨询分诊方法来解决这一差距： - 从非结构化的咨询文本中提取结构化信号 - 将提取的信号与实际的内部技术清单进行匹配 - 跨定义的类别对咨询适用性进行分类 - 将定制通知路由至实际受影响的团队，并提供可追溯的适用性依据 这将临时的咨询处理转化为一种可防御、可审计的方法论，适用于在要求展示主动漏洞防御能力的合规体系下运营的组织。 AACT 的一个特殊价值在于它能够处理早期信号的咨询来源——安全研究博客、供应商咨询、威胁情报报告和聚合订阅源——这些来源通常在正式分配 CVE 或被纳入 CISA KEV 目录的数天或数周前，就会发布有关新兴漏洞的详细信息。仅依赖结构化联邦订阅源或基于扫描的检测的组织，可能要在间隔期结束后才能看到这些信号。AACT 基于 NLP 的方法旨在跨多种来源类型运行，涵盖从结构化的联邦情报到非结构化的早期信号报告。 ## 先前工作与差异化 AACT 解决了关于端到端组织咨询分诊的公开记录方法论中的一个空白。存在几个相邻类别的工具和研究，它们分别解决了该问题的某些方面，但都没有提供一个完整的、公开记录的方法论。 **CVE / NVD 数据订阅源**（NIST NVD, CVE.org）提供结构化的漏洞元数据，但不执行针对组织技术清单的适用性匹配，也不生成定制通知。 **CISA 已知被利用漏洞 (KEV) 目录**是一个包含已确认被利用漏洞的精选列表。它是一个有价值的输入信号，但本身不是咨询分诊方法论——它不执行内部技术匹配，也不生成定制通知。 **商业威胁情报平台**（Recorded Future, Mandiant Advantage, Flashpoint, Anomali）在专有系统中执行咨询摄取和分析。这些平台极具价值，但它们不是公开记录的方法论，通常是昂贵的企业级产品，并且产生的输出不可审计。 **SIEM 和 SOAR 平台**可以根据组织部署进行配置以实现此工作流的某些部分，但该方法论通常是针对每个客户定制的，而不是作为一种方法论被记录下来。 **开源漏洞数据工具**（cve-search, vulners, OpenCVE, VulnHub）处理咨询摄取和搜索，但不执行针对内部技术上下文的适用性匹配或基于分类的通知路由。 **关于 CVE 描述分析的学术 NLP 研究**已经探索了从 CVE 文本中进行实体提取、自动 CPE 匹配以及利用语言分类。这些贡献通常是狭窄的研究成果，而不是涵盖从提取到定制通知的综合性组织方法论。 **AACT 的差异化贡献：**一种公开记录的组织咨询分诊方法论，它结合了基于 NLP 的信号提取、内部技术适用性匹配、结构化分类（包括对需要分析师审查的情况的明确支持）以及基于所有权的路由通知。该方法论旨在供组织和更广泛的安全社区采用和改编，而不是通过专有产品、针对每个客户的定制配置或单一组件的研究成果来交付。 ## 核心概念 AACT 基于三类输入进行运作： **非结构化或半结构化的咨询文本：** - CISA 已知被利用漏洞目录更新 - NIST 国家漏洞数据库条目 - 供应商安全咨询 - 威胁报告文章 - 其他公开可用的漏洞情报来源 **基于 NLP 提取的咨询信号：** - CVE 标识符 - 受影响的供应商 - 受影响的产品 - 受影响的包、库、框架、平台或云服务 - 受影响的版本范围 - 补丁或缓解指导 - 已知利用语言（主动利用、武器化、恶意软件关联等） **内部技术上下文：** - 资产清单 - 应用程序清单 - 软件/包清单 - 所有权和团队分配数据 这些输入通过提取、匹配和分类逻辑进行处理，以生成按适用性分类、按所有权路由的咨询通知。 ## 方法论组件 AACT 由三个协同组件组成： **组件 1 — 基于 NLP 的咨询信号提取。**处理非结构化和半结构化的咨询文本。提取结构化信号，包括受影响的技术、版本范围、补丁指导和利用指标。*在此仓库的原型中使用合成咨询数据进行了演示。* **组件 2 — 内部技术匹配与适用性分类。**将提取的咨询信号与内部技术上下文进行匹配。跨定义的类别对每个咨询的适用性进行分类：适用、可能适用、不适用、需要验证、受影响技术未知、所有者/团队未知。*在此仓库的原型中使用合成清单数据进行了演示。* **组件 3 — 分布式技术过滤咨询通知。**根据组件 2 的适用性分类，生成定向发送至受影响的应用程序、基础设施或平台团队的定制咨询通知。*在此仓库的原型中进行了演示。* ## 适用性分类方案 AACT 将咨询适用性划分为六个类别进行分类： | 分类 | 含义 | | --- | --- | | 适用 | 咨询匹配到已确认的内部技术，且存在经过验证的版本重叠 | | 可能适用 | 咨询匹配到内部技术，但版本重叠情况未确认 | | 不适用 | 咨询不匹配任何内部技术 | | 需要验证 | 已识别初步匹配，但需要额外的技术确认 | | 受影响技术未知 | 无法从可用数据中确定咨询的受影响技术 | | 所有者/团队未知 | 已识别匹配，但缺失所有权数据 | 每个分类都会产生特定的下游操作——路由、验证请求或无操作——以支持可追溯、可审计的咨询响应。 ## 仓库结构 ``` aact-advisory-applicability-classification-and-triage/ ├── README.md ├── LICENSE ├── docs/ │ ├── architecture.md │ ├── extraction-methodology.md │ ├── classification-scheme.md │ ├── prior-art-and-differentiation.md │ └── sample-output.md ├── data/ │ ├── advisories/ │ │ ├── sample_advisory_001.json │ │ ├── sample_advisory_002.json │ │ └── sample_advisory_003.json │ └── inventory/ │ └── sample_internal_technology_inventory.csv ├── src/ │ ├── extract_advisory_signals.py │ ├── match_and_classify.py │ └── route_notifications.py └── outputs/ ├── extracted_signals.json ├── applicability_classifications.csv └── tailored_notifications.json ```

标签：AI红队测试, CISA, CISA项目, GPT, Homebrew安装, NIST, NLP, 人工智能安全, 信号提取, 合规性, 基线管理, 威胁情报, 安全告警分诊, 安全情报, 安全运营, 开发者工具, 扫描框架, 漏洞优先级排序, 漏洞管理, 漏洞通告, 网络安全, 自动化通知, 逆向工具, 隐私保护