漏洞管理生态系统近年来开始逐渐成熟起来,安全从业者投入大量时间来发现、管理、分类和交流漏洞。漏洞描述的标准化不仅有助于威胁情报共享,而且还有助于有效管理潜在的威胁,帮助组织、供应商和安全研究人员积极寻求发现漏洞并及时作出响应。
标准化的漏洞建模
当下,漏洞分类标准和漏洞模型都有一定成熟度,有不少标准化模型,包括CWE、CVE、CVSS、CPE、CAN、CAPEC、CKC等。在漏洞管理中,它们各自扮演什么角色,都作用在哪个阶段,拥有什么特点,是安全人员需要提前了解。
图1:标准化漏洞模型
CWE(CommonWeaknessEnumeration):是开发的常见软件和硬件安全弱点列表。基本上可以认为CWE是所有漏洞的原理基础性总结分析,CVE中相当数量的漏洞的成因在CWE中都可以找到相应的条目。如在代码层、应用层等多个方面的缺陷,从CWE角度看,正是由于CWE的一个或多个缺陷,从而形成了CVE的漏洞。
CVE(CommonVulnerabilitiesExposures):公开的漏洞都拥有唯一标识,漏洞编号就好比是出版物的ISBN号。目前最常见的漏洞编号,是引用MITRE组织推出的CVE编号系统,编号由(CVENumberingAuthorities)CNAs分配。漏洞信息通常包括简要描述、告警、缓解措施和报告。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。但并不是有公开披露的漏洞都有一个相关的CVE-ID。保密的和未公开披露的漏洞通常被称为零日漏洞。
CVSS(CommonVulnerabilityScoringSystem):CVSS建立于年,目前由FIRST负责运营。它通常是基于对每个漏洞特征进行定量计算一个大致的评分(0-10分),然后输出一个定性值(低、中或高)。当前的CVSS最新版本是年6月发布实施v3.1。
CPE(CommonPlatformEnumeration):通用平台枚举项,为IT产品和平台提供了统一的名称,原来属于MITRE运营,年交由NIST,作为NVD基础资源的一部分。它是对IT产品的统一命名规范,包括系统、平台和软件包等,CPE在信息安全风险评估中对应资产识别。
CAPEC(CommonAttackPatternEnumerationandClassification):是攻击模式枚举分类,是美国国土安全部建立于年,现在主要是由MITRE在运营,提供了公开的可用攻击模式,在信息安全风险评估中应对威胁。
OVAL(OpenVulnerabilityandAssessmentLanguage),用于表达系统安全状态,是可以用于检测的技术细节指导,包括获取系统配置信息、分析状态、输出报告三个步骤。OVAL建立于年,年从MITRE转交给CIS组织。
CKC(cyber-attacksandtheCyberKillChain):CKC的全面理解是建立在对漏洞生命周期的认识,包括漏洞出现和利用。CKC还通过分配特定事件的攻击行为来提供威胁情报,并使用模型描述来理解这些行为。这种知识有助于目标系统的操作员确定一个成功的防御策略和解决某些网络攻击问题。
全生命周期的漏洞管理
当今的漏洞管理生命周期理论是由Arbaugh等人在年左右定义概念。通过漏洞生命周期映射,可定义过渡边界的事件。由于漏洞会触发相关的漏洞利用事件,风险程度也在提高,有了补丁可之后,风险程度则会降低。
图2:漏洞生命周期
漏洞产生阶段(Creation):漏洞尚未被发现或者利用,因此,该阶段安全漏洞无风险。
漏洞发现阶段(Discovery):当漏洞刚被发现时,对漏洞的挖掘和利用处于探索阶段,并且掌握漏洞信息的人员数量少,因此,该阶段漏洞风险较低。
漏洞公开阶段(Disclosure):由于漏洞处于公开但未提供补丁的状态,越来越多的潜在攻击者开始
