2021 CWE Top 25最危險軟件缺陷
MITRE的2021年25個最危險軟件缺陷(CWE Top 25)列表集合了可被網絡對手利用的最常見軟件問題。該列表根據美國國家標準與技術研究院(NIST)的國家漏洞數據庫(NVD)和每個通用漏洞與暴露(CVE)的通用漏洞評分系統(CVSS)分數編制而成,并根據普遍性和嚴重程度應用公式給每個缺陷打分。
列表囊括25個軟件缺陷,涵蓋范圍從“越界寫入”(#1,得分65.93)直到“命令內所用特殊元素的不當中和(命令 注入)”(#25,得分3.58)。
在線發布的另一份聲明中,美國網絡安全與基礎設施安全局(CISA)評論道,“攻擊者常可利用這些漏洞奪取受影響系統的控制權,獲取敏感信息,或者造成拒絕服務的情況。CISA鼓勵用戶和管理員仔細查閱Top 25列表,評估所推薦的緩解辦法,選擇其中最適合的加以采用。”
2021 CWE Top 25最危險軟件缺陷
CWE列表中每個條目都包含CWE編號和通往MITRE CWE數據庫中完整條目的鏈接。完整條目里含有的項目包括缺陷描述、與其他缺陷的關系、利用此缺陷的已知CVE,以及CISA建議考慮的潛在緩解辦法等。
在對此CWE列表的分析中,MITRE指出,“轉向更具體的缺陷而不是抽象的類型級缺陷”,是此列表與早期列表的主要區別。所有Top 25條目中,基礎級CWE從~60%增加至~71%,而類型級CWE則已經從~30%減少到~20%了。
MITRE認為,形成這種轉變的原因可能是其早期CWE Top 25列表的成功。基礎級缺陷比特定于實現的缺陷更難處理。其中理念在于,社區已經提升了其處理后者的能力,調低了此類缺陷的排名,并將更棘手的缺陷排到了前面。但所存在的危險是,如果企業尚未改善其類型級缺陷的緩解措施,有可能會誤以為此類缺陷不再那么重要了。
由于排名方法的潛在偏差,缺陷排名的絕對有效性存在一些問題。MITRE不避諱承認這一點,甚至在列表旁加以說明。
存在潛在數據偏差。列表僅采用NVD中公開報告和捕獲的數據;將CWE準確映射至特定CVE并不總是那么容易;而且CVE/NVD數據集存在固有偏差:這種固有偏差是由最常報告漏洞的一些供應商及其主要編程語言造成的。此外,CWE層次結構本身存在錯誤描述的可能性,可導致不正確的映射。
存在指標偏差。例如,由于實現缺陷非常普遍,指標中實現缺陷間接凌駕于設計缺陷之上。此外,題為《最嚴重軟件安全缺陷度量》的論文中還描述了另一種偏差。作者寫道,“在生成不同規模的頂級漏洞列表時,公布的公式嚴重偏好出現頻率,而幾乎忽略了漏洞的可利用性和影響。這是由于分量度量值的分布存在差異。”
MITRE表示,將研究替代指標,并可能會在2022年的列表中引入新的指標。其中問題在于,改變列表的編制方法,意味著無法準確判斷兩年間列表的真實變動。
也許,CWE Top 25列表的真正價值與其說是條目的具體順序,不如說是將常見缺陷累積到單個源文檔中,并推斷出相應的概括。
不過,JupiterOne首席營銷官Tyler Shields指出了其中兩個尤為重要的細節。他表示:“兩個最大的改變是‘關鍵函數缺乏身份驗證’上升了13位,以及‘不正確的默認權限’飛躍了整整22位。這兩種攻擊在我們現代基礎設施中最為常見,幾乎到處都是。”
無論內部軟件開發人員還是第三方軟件開發人員,都應該避免留下這些缺陷,但他們并沒有,而且我們也不能指望他們突然就開始特別留意避免這些缺陷了。于是,檢測缺陷的重任就落在了使用軟件的公司身上。但問題是,大多數安全團隊和IT團隊都缺乏對其網絡資產的可見性,尤其是身份資產或云資產。
Shields稱:“云安全態勢管理(CSPM)和網絡資產管理工具都有助于提供企業所需的治理和安全,從而阻止這兩類攻擊。”
Pathlock總裁Kevin Dunne贊同此觀點,并表示云在當前的軟件缺陷中扮演著重要角色。“隨著新冠肺炎疫情期間云的快速鋪開,修復這些軟件缺陷的需求也加速上升了。對開發云端應用的公司而言,這意味著增加在安全開發培訓、代碼掃描工具、安全研究和其他方面的投入。至于商業采購的云應用(如客戶關系管理(CRM)、人力資源管理(HRM)及其他應用),修復這些缺陷的速度要求倒是沒那么高。(供應商通常承受著成千上萬客戶要求及時修復的壓力,但修復過程總會出現延遲。”
我們可以從此列表得出的一條普遍結論是,開發人員和用戶公司都應該關注洶涌而來的基于身份的缺陷。
YouAttest首席執行官Garret Grajek向媒體透露:“25大當前軟件安全缺陷中有9個都涉及某種形式的身份:身份驗證、憑證盜竊、假冒和授權。很明顯,黑客的目標之一就是獲取企業登錄憑證以實施對企業的初步或長期訪問。被盜權限就好像‘能不斷下金蛋的鵝’,讓攻擊者能夠‘入侵并擴張’。嚴格控制訪問權限和身份是企業安全的關鍵。”
Netenrich威脅情報顧問John Bambenek總結道:“基本上,高級漏洞總是那幾個。這些漏洞在軟件漏洞列表中的呈現方式隨著我們逐漸采用新技術而改變,但最佳實踐卻一直保持不變:驗證所有輸入、保護敏感函數和憑證,以及確保對所有應用進行強身份驗證和授權。”
MITRE列表傳達出的信息是,使用軟件的公司需要自己承擔責任。用戶公司開發自身應用時,該列表展示了最需要多多關注設計與開發的領域。這些公司使用第三方軟件時,該列表指明了最有可能出現漏洞的地方,以及需要額外資源來增強安全的地方。
參考鏈接
