正在转变破绽控制生态格式的三个关键步骤
从1995年出现破绽扫描器以来,破绽控制技术就在始终开展,DAST、SAST、IAST、SCA、RBVM、VMaaS、VPT、要挟情报等新兴技术和厂商始终涌现,生态格式在始终完善成熟。
从实践效果来看,现行的破绽控制技术及翻新在真正彻底处置用户的痛点和疑问上,差距依然较远,并没有带来推翻性的扭转。
2022年11月10日,美国网络安保和基础设备安保局(CISA)网络安保执行助理总监Eric Goldstein在CISA官方上发布博文,称破绽控制的生态格式正在扭转。
在危险环境中,各种规模的组织都面临着控制新破绽的数量和复杂性的应战。具备成熟破绽控制方案的组织寻求更有效的方法来对上班启动分类和优先排序。较小的组织很难了解从哪里开局以及如何调配有限的资源。幸运的是,有一条通往更高效、更智能化、更优先的破绽控制的路线。咱们与政府和私营部门的协作同伴协作,很快乐概述推进软弱性控制生态系统的三个关键步骤:
经过下文进一步形容的这些停顿,咱们将在破绽控制方面取得必要的停顿,并缩小咱们的对手应用美国网络的窗口。
1、成功智能化:依据通用安保咨询框架(CSAF)发布机器可读安保倡导
当发现新的破绽时,软件供应商会立刻采取执行:了解对产品的影响,识别弥补措施,并与最终用户沟通。时钟在滴答作响:攻打者经常在初次地下报告后的几个小时内将破绽发布可应用工具。
软件供应商始终致力了解他们的产品能否遭到新破绽的影响。为了满足这一时期框架,须要一种规范化的方法,让供应商以减速和智能化的形式向最终用户披露安保破绽。
2、廓清影响:经常使用破绽应用替换(VEX)来传播产品能否遭到破绽的影响,并启用优先破绽照应
VEX准许供应商断言特定破绽能否影响产品;并非一切破绽都是可应用的,并使组织面临危险。供应商可以发布VEX通告,以机器可读、智能化形式说明产品能否遭到特定破绽影响。VEX在CSAF中作为性能文件成功,是其更受欢迎用例之一,与支持机器可读倡导的现有上班坚持分歧。VEX的最终目的是支持整个破绽生态系统的更大智能化,包括披露、破绽跟踪和弥补。VEX数据还可以支持更有效地经常使用软件资料清单(SBOM)数据。机器可读的VEX文档支持链接到SBOM和特定的SBOM组件。虽然SBOM向组织提供了无关他们或许面临危险的消息,但VEX文档协助组织了解他们实践上遭到已知破绽的影响,以及能否须要依据应用形态采取执前启动弥补。
3、基于组织属性的优先级:经常使用破绽控制框架,如特定于利益相关者的破绽分类(SSVC),该框架经常使用破绽应用形态和其余破绽数据来协助确定弥补上班的优先级
2021年,CISA发布了具备解放力的业务指令(BOD)22-01,批示联邦民事机构对KEV启动弥补,并激励一切组织将KEV目录归入其破绽控制框架。2021年11月3日已知被踊跃破绽应用破绽列表KEV的初次发布就源于CISA对SSVC的经常使用。
技术开展时期头绪
咱们以时期线的形式来梳理博文中触及到的CVSS、SBOM、CVRF、CASF、VEX、SSVC、EPSS等七个相关技术:
可以看到,技术生态早已规划,新的拼图正在逐渐完整。尤其是2021、2022两年,相关技术文件密集发布,减速格式转变。
机器可读、规范化、相互关联、更大水平的智能化、生态成为关键词。
通用破绽评分系统CVSS
通用破绽评分系统CVSS(Common Vulnerability Scoring System)是由FIRST组织发布保养的一套放开框架。用于表白软件破绽的特点和重大性(不是危险)。2005年发布v1版本,2年发布v3版本,现行是v3.1版本。
虽然目前CVSS评分体系有多种诟病,但并不障碍它成为环球运行最宽泛的破绽评分规范,并成为破绽定级依据。
V3.1CVSS由三组度量目的组成:基础、时期和环境。基础度量示意破绽的外在性质,该特色随着时期的推移和跨用户环境坚持不变,时期度量反映了随时期变动的破绽的特色,环境度量代表用户环境独有的破绽特色。
VKB(Vulnerability Knowledge Base)已所有支持CVSS v2、v3.1规范,并提供智能化评级工具。
通用安保倡导框架CSAF(Common Security Advisory Framework)
众所熟知的CVE经常使用的是通用破绽报告框架CVRF v1.1(CommonVulnerabilityReportingFramework Version1.1),2017年9月13日,发布了CVRF V1.2,2022年8月1日,OASIS发布通用安保倡导框架CSAF v2(CommonSecurityAdvisoryFrameworkVersion2.0CommitteeSpecification03)。
我国华为公司是OASIS CSAF TC技术委员会成员之一。
CSAF并非是CVE的代替品,而是CVRF的代替品。它增强了CVRF的才干,包括不同的性能文件(例如,CSAF基础、消息倡导、事情照应、VEX等)。CSAF还提供了CVRF不支持的几项额外增强性能。此外,CSAF经常使用JSON与XML(CVRF中经常使用)。
CSAF的使命是规范化网络安保破绽疑问的智能披露,使团体和组织能够以机器可读格式成功披露和经常使用安保倡导。这种形式下,资产一切者了解破绽影响、推进及时弥补的流程、所需时期大大缩短,破绽泄露时期也将大大缩短。
软件资料清单(SBOM)
软件资料清单(SBOM)是软件组件和依赖性的正式的机器可读清单,已成为软件安保和软件供应链危险控制的关键组成局部。
2018年7月19日,NTIA召开SBOM启动会,招集利益相关方成立四个上班组。历时三年多,2021年11月18日,发布第一轮SBOM可交付成绩。
目前SBOM的关键安保用例是识别软件供应链中的已知破绽微危险。虽然软件破绽是了解危险的关键组成局部,但并非一切破绽都会让用户和组织面临危险。在处置传递依赖相关时尤其如此。
这种能否影响的判别除了依赖供应商准确判别外,还可将一个软件所触及的破绽与该破绽的形态咨询起来。将其称为“破绽可应用性替换”或VEX。VEX的外围是沟通给定软件能否遭到给定破绽的“影响”。
SBOM罕用规范有CPE、CycloneDX、SPDX、SWID、CoSWID、Grafeas。
VKB(Vulnerability Knowledge Base)已支持最新CPE 2.3规范。
破绽应用替换VEX(Vulnerability Exploitability eXchange)
VEX的概念和格式是作为美国国度电信和消息控制局(NTIA)软件组件透明度多利益相关者流程的一局部制订的。虽然VEX概念是为了满足软件资料清单(SBOM)经常使用方面的不凡需求而开发的,但VEX不限于与SBOM一同经常使用,也不必定蕴含在SBOM中。
VEX的关键用例是向用户(例如,运营商、开发人员和服务提供商)提供附加消息,说明产品能否遭到蕴含组件中特定破绽的影响,假设遭到影响,能否倡导采取弥补措施。在许多状况下,因为各种要素(例如,编译器未加载受影响的代码,或许软件中的其余中央存在一些内联包全),抢先组件中的破绽在最终产品中不会被“应用”。
为了缩小用户考查不影响软件产品的无法应用破绽所破费的精神,供应商可以发布VEX。VEX是关于特定产品中破绽形态的断言。形态可以是:
VEX已作为CSAF的一个概要实施,是机器可读的。机器可读性可成功智能化,并支持集成到更宽泛的工具和流程中。用户可以将SBOM中的组件数据与VEX中的破绽形态消息集成,以提供破绽形态的最新视图。
特定利益相关者破绽分类SSVC(Stakeholder-Specific Vulnerability Categorization)
优先级判别中最优先经常使用的规范应该是CVSS,但CVSS却饱受诟病,造成其经常使用价值受限。典型疑问如:
SSVC旨在学习和改良这些疑问,可视为CVSS的一种衍生。破绽控制的决策,不只仅只思索技术重大性,重大性应仅作为破绽照应优先级的一局部,必定分明触及到是谁在做决策。与部署修补程序或其余安保缓解措施的组织相比,消费修补程序和修复软件的组织显然有不同的决策。例如,电力行业的组织与金融行业的组织有不同的优先级。这些差异标明了一个要求:任何优先级都必定充沛反映不同利益相关者个体的不同决策和优先事项。
SSVC的决策树如下:
2021年11月3日,CISA依据SSVC推出了已知被踊跃应用破绽列表KEV,从CVE破绽库中18万+个破绽挑选出306个破绽,目前列表已增长到857个。
VKB(Vulnerability Knowledge Base)已推出对标KEV的关键破绽目录。
破绽应用预测评分系统EPSS(Exploit Prediction Scoring System)
破绽处置的实在状况,既不能也不须要立刻修复一切破绽。首先,有太多的破绽无法立刻修复它们。钻研标明,平均每月能够修复5%至20%的已知破绽。其次,只要一小局部(2%-7%的已发布的破绽在朝应用)。
在处置破绽时,最佳优先排序战略是什么?这个疑问没有一个惟一的答案,应该经过一系列目的来协助为优先级决策提供消息和指点。
EPSS用于预测评价软件破绽在朝应用的或许性(概率)。目的是协助网络保养者更好地确定破绽弥补上班的优先级。虽然其余行业规范有助于剖析破绽的特色并提供重大水平的权衡规范,但它们评价要挟的才干有限。
EPSS填补了这一空白,经常使用来自CVE的要挟消息和事实环球实在的破绽应用数据。EPSS模型发生的概率评分在0到1(0到100%)之间。分数越高,破绽被应用的或许性就越大。
经过驳回EPSS作为优先级战略,可以节俭企业资源。与经常使用基于CVSS的战略相比,经常使用EPSS v2须要组织修补不到20%(47/253)的破绽。
VKB(Vulnerability Knowledge Base)已片面支持EPSS v2。