CISA《網絡安全事件和漏洞響應手冊》提到的SSVC是什么?
2021年11月16日,美國網絡安全和基礎設施安全局(CISA)根據行政命令EO 14028的要求發布了《網絡安全事件和漏洞響應手冊》。手冊規定的漏洞響應過程包括識別、評估、修復、報告通知4個步驟,其中評估部分的第一句話提到“使用特定相關者漏洞分類法(Stakeholder-specific Vulnerability Categorization,簡稱SSVC)之類的方法,確定環境中是否存在漏洞,以及底層軟件或硬件的重要性”。CISA為什么著重點名SSVC,它在漏洞評估方面又有哪些特點?本文將對此進行介紹和分析。
一、 SSVC基本理念
1、 CVSS不足之處
通用安全漏洞評分系統(CVSS)是目前使用最為廣泛的漏洞嚴重程度評估標準,漏洞的CVSS分值通常與CVE編號一起由美國國家漏洞庫(NVD)發布。
但CVSS存在一些不足:
(1) CVSS僅把技術嚴重度作為基本原則,而將時間和環境作為可選因素,三者都應該是評價漏洞的主要因素;
(2) 目前缺少通過CVSS分值指導決策的相關方法,并且由于度量的不確定性和指標的設計,從數值到定性的轉換較為復雜;
(3) CVSS評分算法的參數不透明,相關工作組也沒有證明公式的使用,因此高CVSS分值并不代表漏洞將被普遍利用或具有公開的利用方法;
(4) CVSS基本分值是靜態的,不隨時間的推移而變化;
(5) 研究表明,分析者對CVSS V3評分元素的解釋并不一致。
2、 SSVC目標及總括
對組織和分析者來說,給定有限的資源,哪些漏洞應該被處理,哪些漏洞當前可以忽略,是需要解決的問題,而基于CVSS并不一定能夠有效的實現。
正是考慮到這些,卡耐基梅隆大學軟件工程研究所在設計新的漏洞評估體系SSVC之初就明確了目標:輸出是定性的決策,而非定量的計算,輸入也是定性的;可對有限數量的相關者群體提出多元化建議;過程論證是透明的;結果是可解釋的。
總體而言,SSVC是漏洞管理中操作的優先級排序系統,是基于決策樹模型的模塊化決策系統,避免一刀切的解決方案;SSVC是漏洞管理的概念性工具,對如何做出決策、決策中應包含哪些內容、如何清楚地記錄和溝通決策等均有描述;SSVC面向各類漏洞管理相關者(同時也是供應鏈的主要參與成員),關注存在漏洞的情況下他們的處理決策。
截止目前,SSVC已發布3個版本,分別是2019年11月的V1.0版本、2020年12月的V1.1版本,以及2021年4月的V2.0版本。
二、 SSVC具體內容
1、 SSVC定義的漏洞管理相關者
可根據團隊在供應鏈中執行的任務,將相關者劃分為提供者、部署者或協調者。
(1) 提供者
即漏洞修復方案的提供者,一般可認為是軟件生產者。提供者通常會收到其產品的一個或多個版本的漏洞報告,他們需將報告信息分解為一組受該漏洞影響的產品或版本,也就是將漏洞與受影響產品進行關聯,并最終為受影響產品提供修復或緩解方案。
(2) 部署者
即漏洞修復方案的部署者,一般可認為是信息系統使用者。部署者通常從提供者獲得針對其部署產品的修復或緩解方案,他們必須決定是否將其部署到特定實例上。部署者漏洞管理流程的核心是數據的整理,包括產品版本部署實例清單的維護、漏洞與修復或緩解方案的對應、修復或緩解方案與產品版本的對應等。
(3) 協調者
協調者是SSVC V2.0中新增的角色,指的是漏洞協調披露(CVD)中促進協同響應過程的個人或組織機構,包括計算機安全事件響應小組(CSIRT)、對國家負責的CSIRT(如US-CERT)、產品安全事件響應小組(PSIRT)、安全研究組織、漏洞賞金和商業經紀人等。不同協調者的差異很大,對SSVC的使用方法也可能不同。協調者的工作往往與一份獨立的漏洞報告相關,也可能會根據工作流程的要求重新組織報告,如合并、拆分、擴充、縮減等。
2、 各相關者的漏洞優先級決策結果
SSVC定義了三類相關者根據漏洞輕重緩急的不同情況,應做出的具體處理決策,即處理漏洞的優先級決策結果。
(1) 提供者漏洞優先級決策結果
表1 提供者漏洞優先級決策結果
(2) 部署者漏洞優先級決策結果
表2 部署者漏洞優先級決策結果
(3) 協調者漏洞優先級決策結果
SSVC以CERT/CC為例給出,包括兩類:
· 關于協調的決策結果
目標是CERT/CC在收到漏洞報告時分析人員可獲得這些信息,決策結果共有3種:
表3 關于協調的決策結果
· 關于發布的決策結果
CERT/CC在某個時間點上往往必須決定何時或是否發布關于漏洞的信息,共有“發布”和“不發布”兩種決策結果。
3、 各相關者可能的決策點
決策點是各相關者做出漏洞優先級決策結果的判斷依據,每個決策點又有若干決策值。SSVC V2.0中定義的提供者和部署者的決策點7項,協調者(以CERT/CC為例)關于協調的決策點7項、關于發布的決策點3項。
(1) 提供者和部署者決策點
· 可利用性(Exploitation)
即主動利用漏洞的證據,適用于提供者和部署者。其決策值包括:
表4可利用性決策值
· 技術影響(Technical Impact)
即漏洞被利用后的技術影響力,適用于提供者和部署者。其決策值包括:
表5 技術影響的決策值
· 效用(Utility)
基于攻擊者可以利用該漏洞的假設,對其所做的努力進行比較,從而估計攻擊者的收益,適用于提供者和部署者,其決策值包括:
表6 效用決策值
· 安全影響(Safety Impact)
即對受影響系統的安全(safety)危害,如身體健康、經濟、社會、情感和心理健康等方面。其理念是相關者應知道供應鏈下游的直接消費者和自己軟件的普遍用法,并應考慮對系統操作員和對他們所提供軟件的用戶的安全影響。其決策值包括:
表7 安全影響決策值
- 公共安全影響(Public Safety Impact)
提供者必須對上面描述的廣義安全影響有一個粗粒度的觀點。其決策值包括:
表8 公共安全影響決策值
- 情景安全影響(Situated Safety Impact)
部署者可能對廣義安全影響有更細粒度的觀點,將它與業務影響結合使用,以簡化部署者的實現。
· 業務影響(Mission Impact)
即對組織業務基本功能(MEF)的影響,主要適用于部署者。其決策值包括:
表9 業務影響決策值
· 人員活動影響(Human Impact)
情景安全影響和業務影響的組合,適用于部署者。其決策值包括:
表10 情景安全影響決策值
· 系統暴露(System Exposure)
即受影響系統或服務的可訪問攻擊面,主要適用于部署者。其決策值包括:
表11 系統暴露決策值
(2) 協調者CERT/CC決策點
· CERT/CC關于協調的決策點
包括前面的“效用”和“公共安全影響”,以及5個新決策點:
表12 關于協調的決策點
· CERT/CC關于發布的決策點
包括前面的“可利用性”及兩個新決策點:
- 增加的公共值(Public Value Added)
詢問來自協調者的發布對更廣泛的社區有多大價值,其決策值基于漏洞現有公共信息的狀態:
表13 增加的公共值的決策值
- 提供者投入(Supplier Involvement)
說明提供者處理漏洞的工作狀態。其決策值包括:
表14 提供者投入的決策值
4、 各相關者的漏洞優先級決策樹
給定一組有用的決策點和相應的特定相關者的決策結果,可將它們組合成關于要采取行動的優先級的綜合決策集。這種決策集及相應推導過程可使用邏輯等多種形式表示,SSVC使用決策樹表示此類信息(下列圖中,矩形表示決策點、三角形表示決策結果)。
(1) 建議的提供者決策樹
該提供者決策樹考慮了“可利用性”、“效用”、“技術影響”和“公共安全影響”4個決策點,組合為36條決策路徑,其中決策結果為“立即”的13項、“有計劃的”8項、“不定期”的13項、“推遲”的2項。
圖1 建議的提供者決策樹
(2) 建議的部署者決策樹
該部署者決策樹考慮了“可利用性”、“系統暴露”、“效用”和“任務影響”4個決策點,組合為108條決策路徑,其中決策結果為“立即”的5項、“有計劃的”69項、“不定期”的23項、“推遲”的11項。
圖2 建議的部署者決策樹
(3) 建議的協調者關于協調的決策樹
該決策樹中包含CERT/CC關于協調的所有決策點,組合為52條決策路徑,其中決策結果為“協調”的17項、“跟蹤”的15項、“拒絕”的20項。
圖3 建議的協調者關于協調的決策樹
(4) 建議的協調者關于發布的決策樹
該決策樹包含CERT/CC關于發布的所有決策點,組合為27條決策路徑,其中決策結果為“發布”的13項、“不發布”的14項。
圖4 建議的協調者關于發布的決策樹
三、 未來工作及總結
卡耐基梅隆大學軟件工程研究所將在以下方面繼續提升SSVC:(1) 通過研究社會學方法收集需求,采用長期、結構化的訪談等獲取從業者和決策者想從漏洞評價中得到的價值等的經驗性依據;(2) 協調者方面除考慮CSIRT外,也將關注PSIRT的需求;(3) SSVC目前未考慮因實施緩解或修復措施而產生的變更風險,下一步將提供評估變更風險或漏洞風險相關成本的方法;(4) 進行更深入的決策樹測試,在決策樹可靠之前,需要對不同的分析人員進行更多測試;(5) 考慮SSVC的國際化和本地化問題。
作者認為,SSVC作為一種漏洞評估方法,其特點主要體現為三個“面向”:
面向供應鏈,面向決策結果,面向實踐經驗
面向供應鏈,相關者的角色可根據他們在供應鏈中執行的任務來確定,并且“安全影響”等決策點中也明確指出,相關者應考慮在供應鏈中對下游用戶的安全責任;
面向決策結果,SSVC關注各相關者漏洞處理優先級的決策結果,更多結合定性的判定而非定量的計算,考慮的因素也更加多元;
面向實踐經驗,SSVC體系中的決策點、決策值等內容會根據試驗測試的結果來增刪調整,而非僅靠理論定義,并且后期還將引入系統的結構化訪談等方法獲得經驗性數據。
董國偉,虎符智庫專家,奇安信集團代碼安全實驗室高級專家,博士,從事網絡安全、軟件安全、代碼審計和漏洞分析相關工作近20年。
本文轉載于 虎符智庫
