近日,美国网络安全和基础设施安全局(CISA)发布了一份关于利益相关者特定漏洞分类(SSVC)指南,用于指导如何使用评分决策树。SSVC被描述为一种漏洞管理方法,用于描述漏洞的利用状态、对安全的影响以及受影响产品在单个系统中的流行程度,指南中提出了五大关键点。为此,CISA网络安全执行助理总监Eric Goldstein发布了博客《Transformingthe Vulnerability Management Landscape》,提出推进漏洞管理生态系统的三大关键步骤。

三大关键步骤

在当前的风险环境中,各种规模的组织都面临着管理新漏洞数量和复杂性的挑战。拥有成熟的漏洞管理计划的组织寻求更有效的方法来进行工作内容过滤分流,确定工作的优先级。而小型组织仍处于理解从何以及如何分配有限的资源方面。首先,必须在漏洞管理中引入更大程度的自动化,包括通过扩大通用安全预警框架(CSAF)的使用。第二,必须通过广泛采用漏洞利用交换(VEX),使企业更容易了解特定产品是否受到漏洞的影响。第三,必须通过使用利益相关者特定漏洞分类(SSVC)帮助组织高效管理漏洞,包括在CISA的已知被利用的漏洞(KEV)目录上对漏洞进行优先排序。

0实现自动化

基于通用安全预警框架(CSAF)发布机器可读的安全预警。当新漏洞被识别时,软件供应商应立即采取行动:确定对产品的影响,制定补救措施,并及时与终端用户进行沟通。由OASIS CSAF技术委员会开发的CSAF是一个机器可读安全公告的标准。CSAF提供了标准化的格式,用于录入漏洞预警信息,并简化了资产所有者的分流和修复过程。通过使用CSAF发布安全建议,企业将减少了解漏洞影响并进行漏洞修复的时间。

02 确定影响

使用VEX来确定产品是否受到漏洞的影响,并实现对漏洞的优先响应。VEX允许供应商确定特定的漏洞是否影响产品;VEX预警也可以表明产品不受漏洞的影响。并非所有的漏洞都是可利用的,并使组织处于风险中。为了帮助用户降低漏洞分析成本,供应商可以发布VEX通告,以一种机器可读的、自动化的方式说明产品是否受到特定漏洞的影响。VEX的最终目标是支持整个漏洞生态系统的更大自动化,包括披露、漏洞跟踪和修复。VEX数据还可以支持更有效地使用软件物料清单(SBOM)数据。SBOM是一个机器可读的、全面的软件组件和依赖关系的清单。机器可读的VEX文档支持链接到SBOM和特定的SBOM组件。SBOM为组织提供了关于其潜在风险的信息,而VEX文档则帮助组织找出实际受到已知漏洞影响的地方,以及是否需要根据利用状况采取补救措施。

0使用漏洞管理框架

基于组织属性的优先级,使用漏洞管理框架。如利益相关者特定漏洞分类(SSVC),该框架利用开发状态和其他漏洞数据来帮助确定补救工作的优先次序。CISA鼓励组织使用并考虑漏洞利用状态的漏洞管理框架,如SSVC。SSVC是一个定制的决策树模型,协助美国各级政府以及关键基础设施(CI)实体确定漏洞响应的优先次序。SSVC的目标是根据漏洞利用对特定组织的影响,协助确定修复漏洞的优先级。指南中描述了SSVC评分决策,概述了CISA如何进行修补优先级的信息。

漏洞评分决策

当CISA识别到漏洞时,有四个潜在决策,如表1所述:

表1:漏洞决策(潜在结果)

评分决策中的一个重要变量是范围。组织可以通过了解受影响系统的边界设定确定漏洞范围。了解存在于多个相关系统中的漏洞,作为一个或多个漏洞进行分析,也有助于组织确定漏洞的范围。

五大决策点

CISA使用包括利用状态、技术影响、自动化程度、任务覆盖情况和公共利益这五大决策点和相关的数值来进行漏洞评分决策。每个决策点的数值都忽略了“未知”选项。CISA不把决策点宣布为“未知”,而是根据历史事件确定合理假设值。依靠历史数据,但未来的事件走向可能会随着时间的推移改变假设。

0利用状态

主动利用漏洞的证据

该措施只评估当前的漏洞利用状况。不预测未来的利用情况,也不衡量攻击者未来开发利用代码的可行性或难度。可以提供主动利用的公开报告的来源包括:供应商发布的漏洞通知、国家漏洞数据库(NVD)和文中相关链接、相关信息共享和分析中心(ISAC)的公告,以及列出漏洞的CVE-ID或通用名称的可靠威胁报告。

表2:开发决策值

0技术影响

技术影响可类比为通用漏洞评分系统(CVSS)基础评分中的"严重程度"。在评估技术影响时,范围的定义尤为重要。决策点的“总”是相对受影响组件而言的。如果一个漏洞泄露了身份验证或凭证信息,如果这些凭据使攻击者完全控制了组件,则该信息泄露也应记为“全面影响”。

表3:技术影响决策值

0自动化程度

自动化程度代表了网络攻击者利用漏洞的难度和速度。有几个因素会对此产生影响,包括攻击的复杂性、攻击者是否需要编写漏洞利用代码、以及受漏洞影响的系统网络部署等。

表4:自动化程度的决策值

进行可自动化分析时,分析人员应明确地通过杀伤链的每个步骤,并确认对相关漏洞的在各步骤进行自动化的阻碍因素。值为"否"并不意味着在任何情况下都不可能实现自动利用。它意味着,鉴于目前可用的信息,分析人员无法通过自动化方式构建出一条覆盖杀伤链前四个阶段的攻击路径。

自动侦查与漏洞利用链

由于漏洞利用链的原因,侦查是否可以实现自动化存在一些细微差别,例如:

  • 漏洞A和B都影响产品X;

  • 漏洞A允许攻击者执行远程代码执行。 然而,攻击者需要事先访问目标网络来利用漏洞A;

  • 漏洞B允许攻击者远程查看产品X中的敏感信息,而不需要在目标网络上。

从攻击者角度看,漏洞A较为理想,但与漏洞B相比,需要进行更多的工作。但是,由于两个漏洞都影响到产品X,攻击者可以先利用漏洞B进入目标网络,继而利用漏洞A进行远程代码执行。使用多个漏洞来实现整体结果被称为"漏洞利用链"。SSVC指出分析人员在确定正确的可自动决策点时需要考虑漏洞利用链。

0任务覆盖情况

对相关实体的任务必要功能的影响

任务必要职能(MEF)是“与完成法定或行政章程中规定的组织任务直接相关”的职能。识别MEF是业务连续性规划或危机规划的一部分。与非必要职能相反,一个组织“必须在正常运营中断期间执行MEF。”任务是组织存在的原因,而MEFs是实现该任务的方式。非关键功能支持MEF的顺利交付或成功,而不是直接支持任务。在表5中,“实体”是美国政府部门或机构、SLTT政府或关键基础设施部门组织。

表5:任务覆盖情况决策值

任务覆盖情况并非简单计算存在的设备或产品数量。但数量仍是一个重要的衡量因素。该特征测量的是普遍性,而非影响,所以无需考虑补偿性的控制,也无需考虑漏洞对组件的影响。

0公共利益

安全违规行为是指对利益产生负面影响的行为。SVCC参考了美国疾病控制中心(CDC)对利益的广泛定义,该定义包括身体、社会、情感和心理健康。每个决策选项都列出了符合条件的各类相关实例。技术上的影响侧重对手对计算机系统的控制,而公共利益的影响则更加侧重更广泛的影响。

表6:公共利益影响决策值

缓解状态

缓解状态衡量的是及时缓解该漏洞的困难程度。需考虑可用性、难度和类型三个因素,详见表7。

表7:缓解的决策值

从系统可用性出发,不可用的情况比可用的情况更为严峻;从系统变化的难易度看,难度高的比低的更难处理。从缓解措施的类型来看,漏洞变通缓解方法比修复更为繁琐,因为变通缓解方法往往更复杂或需要专业人员进行操作,而通常修复措施(补丁),存在既定且简易的应用过程。根据CISA的决策树,缓解价值不会改变SSVC决策的优先级。然而,缓解信息对漏洞管理至关重要,至少应该被跟踪。

决策树

SSVC任务覆盖情况和公共利益影响决策点结合,以确定漏洞的可利用性。对于CISA,该指标为美国政府、SLTT政府和关键基础设施实体提供了利用的可能性。表8显示了确定任务覆盖情况和公共利益的决策值的方法。

表8:确定任务覆盖情况和公共利益的影响值

建议的决策信息有两种表现形式。图1和表9。两者所代表的决策一致。

图1:表示漏洞优先次序的决策树

表9:漏洞优先级

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。