閱讀此文前,誠邀您點選一下“關注”,友善您随時查閱一系列優質文章,同時便于進行讨論和分享,感謝您的支援~
文|紮西朗姆
編輯|那個榕呐
引言
軟體漏洞是暴露軟體系統弱點的軟體缺陷。CVSS标準用于對已知和已披露漏洞的嚴重性進行分類。一旦用CVE識别的漏洞的分類和評估工作完成,結構化和量化的嚴重性資訊将存儲到漏洞資料庫中。
許多國家機構強制和推薦使用CVSS來評估不同的安全關鍵領域,包括但不限于醫療裝置和支付卡行業。
該标準還被納入不同的政府安全風險、威脅和情報系統。此外,CVSS資訊用于許多不同的商業産品,範圍從漏洞掃描器和合規性評估工具到自動滲透測試和入侵檢測系統。
實用的方法很重要,因為CVSS也面臨着挑戰。類似于影響CVE配置設定的問題,不同的實際問題影響了帶有CVE标記的漏洞的嚴重性配置設定。
排除标準的實際内容、與分類不一緻、時間延遲和分類标準擴散相關的曆史問題,其中一些問題一直存在。
一、NVD背景下的CVE和CVSS釋出過程
為了檢查時間延遲的問題是否仍然存在——正如人們所懷疑的那樣,需要對NVD背景下的CVE和CVSS釋出過程做一個簡短的評論。
當安全研究人員、供應商和其他相關參與者為他們發現或意識到的漏洞請求CVE時,該過程就開始了。這些請求-響應動态由非營利性MITRE公司處理。
正如在軟體工程中常見的那樣,MITRE可能會為配置設定的CVE保留積壓,其中一些甚至可能被拒絕包含在NVD中。
盡管積壓的結構未知,但可以考慮使用簡單的FIFO(先進先出),以便将推測與最近的理論工作聯系起來。在任何情況下,最終接受存檔的漏洞都會在NVD中釋出。
在與CVE相關的協調和歸檔工作的同時,NVD團隊評估漏洞的嚴重性,該團隊在很大程度上獨立于其他進行類似評估的人。
二、轉換成本
評估完成後,CVE引用的漏洞資訊将在NVD中更新。最初的CVE出版物和後來的CVSS更新之間的時間滞後構成了所檢查的經驗現象。
對于抽象的CVE積壓工作還有另一種觀點。這種觀點源于所謂的轉換成本,對于資訊技術标準而言,轉換成本通常很高。
此類理論成本還包括資料庫維護:即使是對标準所做的微小更改也可能意味着大量的評估工作,特别是在需要更新舊資訊的情況下。
在2007年引入CVSS标準的第二次修訂時也提出了這種擔憂。換句話說,考慮到NVD目前存在的近九萬個漏洞,更新可能會耗費大量時間和資源。
在具有CVE和CVSS條目的89465個存檔漏洞中,條件無法滿足的僅1375個漏洞。不失一般性,這些病例被排除在外。
這同樣适用于沒有嚴重性記錄的CVE。在檢索NVD内容時,有2218個已釋出但仍缺少CVSS記錄的漏洞。
這些案例中的大多數與仍在進行嚴重性評估的管道中的新漏洞有關,或者與後來因不适合存檔而被拒絕的已釋出CVE相關。無論哪種方式,這些也必須被排除在外,以便為觀察到的所有案例定義。總的來說,檢查的資料集包含n=89465-1375=88090歸檔案例。
觀察到的漏洞中有一半在CVE釋出一天後就已經進行了嚴重性配置設定,但标準偏差仍超過一年。
大多數這種偏差是由一些極端異常值引起的,甚至在CVE最初釋出十年後才為其配置設定嚴重性分數。
兩種類型的協變量用于對中的時間延遲進行模組化。第一個包含CVSS資訊本身。CVSS(v.2)标準根據機密性、完整性和可用性(CIA)對漏洞的影響進行分類。CIA首字母縮略詞中的每個字母進一步擴充為三個類别,描述了成功利用相關漏洞的影響。
三、三個影響名額
這三個影響名額衡量漏洞被利用後系統上漏洞的嚴重程度。但是,并非所有漏洞都可以被利用;是以,CVSS标準還指定了漏洞的可利用性次元。
與影響次元一樣,可利用性擴充為三個名額(通路向量、複雜性和身份驗證),每個名額都可以采用三個不同的值。
影響和可利用性名額的基本原理與名額可以采用的不同值之間的不同組合關系有關。
例如,大規模攻擊工具很可能以不那麼複雜的漏洞為目标,這些漏洞可以在不執行身份驗證的情況下通過網絡加以利用,可能不考慮對機密性、完整性和可用性的影響。
在這些方面也存在一些經驗證據。然而,影響和可利用性次元都與漏洞的内在特征有關;它們在時間和環境中是恒定的。
例如,EXPLOITABILITY無法回答關于是否已知存在針對所讨論漏洞的利用的時間問題。相同點一般延伸到NVD。由于這些和其他原因,CVSS的新(第3版)标準擴大了時間和環境名額的次元。
然而,就目前的目的而言,影響和可利用性次元足以征求RQ2的答案。該選擇也是本文對NVD的關注所必需的,NVD目前不提供完整的CVSSv.3資訊。
盡管存在這種限制,六個CVSS名額與手動分類的相當詳細的标準,可以預期。具有嚴重影響的複雜漏洞可能需要比微不足道的漏洞更多的評估工作。
四、漏洞評估工作
與普通的跨站點腳本漏洞相比,遠端緩沖區溢出漏洞通常更難解釋。理論上相反的方向也是可能的;可能會為備受矚目的漏洞投入更多精力。無論哪種方式,RQ2似乎都是一個值得提出的合理假設。
關于統計模組化,三個影響名額和三個可利用性名額作為所謂的虛拟變量包含在模型中。對于每個名額,參考類别在前兩個圖中都标有星号。
盡管從大約2000年代中期開始處理的CVE數量不斷增加,但CVSS處理的時間延遲多年來一直在穩步下降。
近年來沒有出現極端異常值,這意味着大部分右尾都歸因于較舊的CVE。一個可能但推測性的解釋是,使用CVSS(v.2)資訊更新舊CVE的工作已基本完成。
強勁的下降趨勢可能支援對研究問題RQ1的肯定回答。鑒于這種先前的預期,即将進行的分析的主要興趣涉及影響和可利用性名額的統計效果,同時還對年度趨勢進行了模組化。
評估研究問題RQ3的一種政策是比較模型米1和米2針對全資訊模型米3。如果CVSS名額提供了預測的統計能力丁,當控制了下降的年度趨勢時,這種力量也應該是可見的。
是以,基于統計顯着性,将對所有三個研究問題給出肯定的答案。然而,這個結論是沒有根據的。大部分系數米3無論估計政策如何,模型都接近于零。
由于所有協變量都是虛拟變量(是以具有相同的尺度),是以這一觀察結果,其中繪制了OLS系數(y軸)與相應的NBM系數(x軸),省略常量1。
可以看出,兩個回歸系數向量之間存在一些差異,但這些差異主要适用于年度效應。特别是,影響和可利用性次元的系數非常接近于零,而OLS和NBM估計之間沒有顯着差異。
從2005年到2017年的年度效應獲得了最大的絕對系數值。這些系數也表現出OLS和負二項式估計之間的最大差異。
為了進一步檢查這些觀察結果,所謂的最小絕對收縮和選擇算子(LASSO)提供了一個很好的工具。
LASSO方法是一種回歸模型,它使用正則化來提高預測精度和特征選擇。與其他正則化回歸模型相比,LASSO可以将某些系數精确縮小為零。
盡管特征選擇屬性并不完全适合假設檢驗,此屬性對于進一步檢查正則化是否将所有CVSS名額的系數推向零是可取的。
應該注意的是,基于特征選擇删除單個虛拟變量通常是沒有根據的,因為對系數的解釋會發生變化,但如果所有影響和可利用性虛拟變量都正則化為零,就沒有太多可解釋的了。
五、結論
CVSS内容與時間延遲(RQ2)相關,但相關性是虛假的;影響時間延遲(RQ1)的年度下降趨勢也使得CVSS内容的影響可以忽略不計(RQ3)。關于這些實證研究結果的重要性,有三點值得提出。
就使用CVSS資訊的實際應用而言,對RQ2和RQ3的否定回答是積極的發現。
無論應用環境是政府安全情報系統還是商業安全評估工具,目前都沒有特别的理由擔心NVD資料饋送會顯示CVSS資訊的顯着延遲。
同樣,在2017年,沒有理由懷疑嚴重漏洞的資訊往往會比普通漏洞的資訊更晚(或更早)到達。然而,這個結論并不适用于曆史背景,而且,曆史上的長期拖延也影響了學術研究。
對RQ1的肯定回答就現有的學術研究而言是一個負面的發現;在使用CVSS資訊的一些現有實證研究中,曆史上較長的時間延遲可能會轉化為選擇偏差。
是以,一些現有的學術研究面臨與樣本選擇和缺失值等相關的難題。對于檢查漏洞披露等時間敏感主題的研究,這種擔憂尤為明顯。
結果與最近提出的關于在軟體漏洞上下文中濫用統計顯着性的擔憂相呼應。似乎存儲在漏洞資料庫中的檔案材料的大小已經超過了一個點,之後統計顯着性開始失去其在應用研究中進行推理的用處。
目前存檔的新漏洞率,2016年每天大約17個,意味着具有統計意義的問題隻會變得更糟。
如果CVE被其他資料集引用,包括入侵檢測輸出的大資料,這一點尤為重要及相關系統。本文中使用的正則化回歸模型提供了一種在進一步應用中需要考慮的解決方案,但需要更多的
研究來評估現有的偏差和前進的潛在方法。
參考文獻
1.L.Allodi,F.Massacci影響和複雜性方面的攻擊潛力可用性、可靠性和安全性國際會議論文集(2017)
2.MNAlsaleh,E.Al-Shaer基于合規報告和漏洞評分系統的企業風險評估網絡安全分析、智能和自動化研讨會論文集(2014)
3.M.Aslam,C.Gehrmann,M.BjorkmanASArP:使用TCG-SCAPSynergies對遠端平台進行自動化安全評估和審計(2015)
4.FIRST,通用漏洞評分系統2.0版完整指南,FIRST.ORG,2007年
5.M.Garcia、A.Bessani、I.Gashi、N.Neves、R.Obelheiro面向入侵容忍的作業系統多樣性分析軟體(2014)