楊一未

(中國信息安全測評中心，北京 100085)

0 引 言

2020年，發(fā)生過多起網(wǎng)絡(luò)信息安全事件，黑客組織“海蓮花”對中國29個省市的重要衛(wèi)生醫(yī)療機構(gòu)、應(yīng)急管理機構(gòu)等目標(biāo)對象發(fā)起網(wǎng)絡(luò)間諜活動[1]；4月，美國跨國IT服務(wù)商Cognizant公司遭到Maze勒索軟件攻擊，造成其為客戶提供的支持員工遠程辦公的系統(tǒng)和服務(wù)中斷；6月，日本汽車制造商本田的服務(wù)器遭到Ekans勒索軟件攻擊，影響了本田的計算機服務(wù)器；8月，Maze勒索軟件針對美國和外國政府組織、教育實體、私營公司和衛(wèi)生機構(gòu)發(fā)起攻擊；9月，阿根廷移民局遭Ryuk勒索軟件攻擊，影響其中央數(shù)據(jù)中心和分布式服務(wù)器的基于MS Windows的系統(tǒng)文件[2]?？梢钥吹叫畔⑾到y(tǒng)運營者和安全技術(shù)人員正面臨著前所未有的壓力，這些安全事件背后或多或少都有信息安全漏洞使用的痕跡。所以信息系統(tǒng)運營者和安全技術(shù)人員首先應(yīng)關(guān)注那些漏洞，漏洞危害排序問題變得尤為突出。

目前，使用最為廣泛的漏洞風(fēng)險量化評估方法，是通用漏洞評分體系CVSS(Common Vulnerability Scoring System)[3]，該評分體系是美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology，NIST)開發(fā)，由FIRST(Forum of Incident Response and Security Teams)維護。該方法由基本組、時間組和環(huán)境組三個度量組組成，每一組均含有一套度量指標(biāo)。基本組的評分范圍為0至10，反映漏洞技術(shù)指標(biāo)；時間組反映的是漏洞披露后隨著時間的推移、漏洞細節(jié)的公布、補丁或修復(fù)方案的出現(xiàn)、利用手段的成熟對漏洞危害程度的影響；環(huán)境組是供安全人員根據(jù)實際場景進行調(diào)整的指標(biāo)，CVSS只給出了概念性建議。NVD[4]采用該標(biāo)準(zhǔn)，并在其網(wǎng)站上給出漏洞CVSS基礎(chǔ)組評分。

中國《GB/T 30279-2020網(wǎng)絡(luò)安全漏洞分類分級指南》[5]的網(wǎng)絡(luò)安全漏洞分級指標(biāo)，主要包括被利用性指標(biāo)、影響程度指標(biāo)和環(huán)境因素指標(biāo)等三類。網(wǎng)絡(luò)安全漏洞分級根據(jù)漏洞分級的場景不同，分為技術(shù)分級和綜合分級，每種分級方式均包括超危、高危、中危和低危四個等級。超危漏洞可以非常容易地對目標(biāo)對象造成特別嚴重的后果；高危漏洞可以容易地對目標(biāo)對象造成嚴重后果；中危漏洞可以對目標(biāo)對象造成一般后果；低危漏洞可以對目標(biāo)對象造成輕微后果。其中，技術(shù)分級反映特定產(chǎn)品或系統(tǒng)的漏洞危害程度，主要針對漏洞分析人員、產(chǎn)品開發(fā)人員等特定產(chǎn)品或系統(tǒng)漏洞的評估工作。綜合分級反映在特定時期特定環(huán)境下的漏洞危害程度，用于在特定場景下對漏洞危害等級進行劃分，主要針對用戶對產(chǎn)品或系統(tǒng)在特定網(wǎng)絡(luò)環(huán)境中的漏洞評估工作。漏洞分級過程主要包括指標(biāo)賦值、指標(biāo)分級和分級計算三個步驟，其中，指標(biāo)賦值是將具體漏洞的每個漏洞分級指標(biāo)進行人工賦值；指標(biāo)分級是根據(jù)指標(biāo)賦值結(jié)果分別對被利用性、影響程度和環(huán)境因素等三個指標(biāo)類進行分級；分級計算是根據(jù)指標(biāo)分級，計算產(chǎn)生技術(shù)分級或綜合分級的結(jié)果。技術(shù)分級結(jié)果由被利用性和影響程度兩個指標(biāo)類計算產(chǎn)生，綜合分級由被利用性、影響程度和環(huán)境因素三個指標(biāo)類計算產(chǎn)生。CNNVD[6]給出的是依照此標(biāo)準(zhǔn)得出技術(shù)分級，該級別與NVD給出的CVSS基礎(chǔ)組評分存在一定的對應(yīng)關(guān)系。

然而，CVSS和GB/T 30279-2020對于信息系統(tǒng)運營者和安全技術(shù)人員來講，在確定環(huán)境因素分值上基本采用的都是主觀定性打分后進行定量計算的方法，并且這些環(huán)境指標(biāo)變量取決于特定組織機構(gòu)和特定系統(tǒng)，無法自動生成。該文給出了一種多因素漏洞評價方法(Multi-factor Vulnerability Scoring System，MVSS)，并通過實例分析展示了該方法的計算過程。選取2021年CNNVD發(fā)布的若干條公開漏洞，以CVSS基礎(chǔ)組評分為例，對相同環(huán)境指標(biāo)和不同環(huán)境指標(biāo)下的MVSS指數(shù)變化曲線、不同漏洞評分數(shù)量分布、排序?qū)Ρ惹闆r等進行了統(tǒng)計分析。分析結(jié)果表明：同一環(huán)境因素下CVSS基礎(chǔ)組評分曲線與MVSS評分曲線波動相同；同一環(huán)境因素下CVSS基礎(chǔ)組評分漏洞數(shù)量分布與MVSS漏洞評分數(shù)量分布相同；在CVSS基礎(chǔ)組評分分值和環(huán)境因素風(fēng)險度排序相反的情況下，與多因素漏洞評價分值呈反向交叉等現(xiàn)象。但在不同環(huán)境因素指標(biāo)下，呈現(xiàn)出高風(fēng)險系統(tǒng)中低危漏洞MVSS分值高于低風(fēng)險系統(tǒng)高危漏洞的現(xiàn)象，可見多因素漏洞評價方法可以有效地供信息系統(tǒng)運營者和安全技術(shù)人員用于漏洞危害消控排的量化評估。

1 相關(guān)研究

桑迪亞國家實驗室與美國國土安全部合作發(fā)布的《優(yōu)先考慮網(wǎng)絡(luò)脆弱性的關(guān)鍵基礎(chǔ)設(shè)施設(shè)備和緩解戰(zhàn)略方法》[7-8]報告，給出一套易受網(wǎng)絡(luò)攻擊的信息資產(chǎn)評價流程，試圖尋求最大限度降低這些資產(chǎn)受到攻擊帶來的損失。Gartner[9]于2017年和2019年分別發(fā)布了兩個版本的《開發(fā)和實施漏洞管理指導(dǎo)框架》[10-11]，特別是在2019年的版本中首次提出了漏洞優(yōu)先級算法的概念，并指出漏洞優(yōu)先級計算的重要元素應(yīng)包括漏洞危害等級、資產(chǎn)暴露情況、威脅上下文、對業(yè)務(wù)的潛在影響等，但并未給出具體的操作方法?？突仿〈髮W(xué)的Jonathan等人提出了一種可測試的，特定于利益相關(guān)者的漏洞分類(Stakeholder-Specific Vulnerability Categorization，SSVC)[12]，它對不同的漏洞管理域，采用決策樹的形式，分別向補丁開發(fā)者和補丁使用者給出漏洞消控緊急程度建議，建議分為推遲(Defer)、排期(Scheduled)、外協(xié)(Out-of-Band)、立即(Immediate)四個等級。2021年4月，Jonathan等人將SSVC升級為2.0版本[13]，2.0版本中加入了協(xié)調(diào)利益相關(guān)者(Coordinator Stakeholder)角色、調(diào)整了術(shù)語定義、給出了更為詳細的SSVC計算方法說明和示例。Dale Peterson針對工業(yè)控制系統(tǒng)(Industrial Control System，ICS)對SSVC進行了一定修改，命名為“ICS- patch”[14]版本定義為0.5，表明其需要進一步完善的態(tài)度，該方法可視為SSVC在ICS領(lǐng)域的實踐。SSVC和ICS-patch方法過于依賴專家判斷，定性評價項過多，缺乏實際操作性，也較難實現(xiàn)工程化。黃家輝等人將漏洞風(fēng)險評估量化指標(biāo)分為漏洞利用難度和漏洞危害性，同時給出漏洞利用難度打分和漏洞危害性打分，變定性評價為定量指標(biāo)，利用攻擊圖來對系統(tǒng)的拓撲結(jié)構(gòu)進行建模分析，以研究每條攻擊路徑的脆弱性為目標(biāo)，計算攻擊過程中每一步的攻擊期望從而得到每條路徑的總攻擊期望，進而判斷漏洞風(fēng)險[15]，但該方法未考慮漏洞固有技術(shù)屬性和用戶群體規(guī)模等因素，同時需要確定攻擊鏈后對漏洞攻擊圖進行分析，分析周期長不利于快速聚焦需關(guān)重的漏洞范圍。

該文提出的漏洞評價方法，除將漏洞技術(shù)評價指標(biāo)作為漏洞危害消控重要程度考慮因素之外，又加入了計算機系統(tǒng)分級類評價、網(wǎng)絡(luò)防護與聯(lián)通性、資產(chǎn)使用率、利益相關(guān)者風(fēng)險承受度四個指標(biāo)因素，以定量和定性相結(jié)合的方法生成信息資產(chǎn)上漏洞危害消控排序，與已有的研究比較更能滿足實踐要求。

2 評價方法與實例

2.1 MVSS評價方法

該文提出的多因素漏洞評價方法，通過綜合計算機系統(tǒng)分級類評價、網(wǎng)絡(luò)防護與聯(lián)通性、資產(chǎn)使用率、利益相關(guān)者風(fēng)險承受度、漏洞技術(shù)評價等五類指標(biāo)，計算得出漏洞消控優(yōu)先級排序。同時該方法在實際使用過程中漏洞風(fēng)險評估者還可以根據(jù)具體實際情況對評估項進行增減。

表1 多因素漏洞評價方法(MVSS)指標(biāo)描述及示例

計算機系統(tǒng)分級評價指標(biāo)是指對信息和信息載體按照重要性等級分級別進行保護而確定的等級，中國普遍使用的是《GB/T 22239-2019信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》[16]系列標(biāo)準(zhǔn)，美國則可追溯到由國家計算安全中心(National Computer Security Center，NCSC)制定的可信計算機系統(tǒng)評估準(zhǔn)則[17](Trusted Computer System Evaluation Criteria，TCSEC)。該準(zhǔn)則于2014年3月14日重新發(fā)布為DoDI 8500.02[18]，最終由國際標(biāo)準(zhǔn)化組織ISO頒布為《ISO/IEC 15408:2009 Information technology - Security techniques — Evaluation criteria for IT security》系列標(biāo)準(zhǔn)[19-21]，該系列標(biāo)準(zhǔn)目前也正在進行改版。網(wǎng)絡(luò)防護與聯(lián)通性指標(biāo)是指信息資產(chǎn)與互聯(lián)網(wǎng)的連接方式和所采取的防護措施，該指標(biāo)代表了漏洞通過網(wǎng)絡(luò)進行攻擊的難易程度。資產(chǎn)使用率指標(biāo)是指某一信息系統(tǒng)使用人員占總?cè)藬?shù)或使用該系統(tǒng)資產(chǎn)占總資產(chǎn)的比例關(guān)系，在某一組織內(nèi)部，結(jié)合資產(chǎn)探測、身份鑒別、上網(wǎng)準(zhǔn)入等技術(shù)手段該數(shù)據(jù)可實現(xiàn)自動化統(tǒng)計。利益相關(guān)者風(fēng)險承受度指標(biāo)是指系統(tǒng)遭到破壞后，信息系統(tǒng)所有者、運營者、用戶等的承受度，該指標(biāo)是MVSS統(tǒng)計中唯一定性評價指標(biāo)。漏洞技術(shù)評價指標(biāo)是指排除環(huán)境因素外的漏洞自身危害等級，CVSS基礎(chǔ)組評分就是較好反映漏洞技術(shù)評價指標(biāo)的參考數(shù)據(jù)值之一，該指標(biāo)可反映出漏洞的利用難度和攻擊者關(guān)注程度，同樣GB/T 30279-2020所給出的漏洞技術(shù)分級也可等效使用。MVSS的詳細計算步驟如下：

(1)漏洞評價考慮因素集合為X(X≠?)，不同漏洞評價因素初始權(quán)重值Mi(i≤|X|，且i∈N) ，對漏洞危害等級度Ri進行基準(zhǔn)化處理：

(1)

(2)以考慮因素排序最后一項K|X|為基準(zhǔn)，令其為1，自下而上依次計算其他評價項目的Kj值：

Ki=Ki+1×Ri

(2)

(3)將Ki歸一化處理，得到權(quán)重Wi：

(3)

(4)

(5)

(6)

(7)計算漏洞危害消控優(yōu)先級排序指數(shù)Vj：

(7)

(8)對Vj(j≤|Y|，且j∈N) 從大到小排序，得到漏洞消控優(yōu)先級排序結(jié)果，也可在此基礎(chǔ)上劃定閾值，對高于該閾值的漏洞重點關(guān)注或優(yōu)先消控。

2.2 評價示例

本節(jié)以Microsoft，CNNVD編號為CNNVD-202101-538、CNNVD-202101-792、CNNVD-202101-820、CNNVD-202102-678的四個漏洞為例，模擬實際環(huán)境計算MVSS評分，分析MVSS在生產(chǎn)環(huán)境漏洞風(fēng)險評估中的有效性。

CNNVD-202101-538(CVE-2020-24003)是Microsoft Skype授權(quán)問題漏洞，該漏洞允許本地進程獲取未經(jīng)提示的麥克風(fēng)和攝像頭訪問，CVSS得分3.3，CNNVD漏洞技術(shù)分級為低危；CNNVD-202101-792(CVE-2021-1713)是Microsoft Excel緩沖區(qū)錯誤漏洞，CVSS得分7.8，CNNVD漏洞技術(shù)分級為高危；CNNVD-202101-820(CVE-2021-1694)是Microsoft Windows Update Stack提權(quán)漏洞，CVSS得分9.8，CNNVD漏洞技術(shù)分級為超危；CNNVD-202102-678(CVE-2021-24085)是Microsoft Exchange Server安全漏洞，CVSS得分5.5，CNNVD漏洞技術(shù)分級為中危。

現(xiàn)假設(shè)上述四個漏洞在不同的四個生產(chǎn)系統(tǒng)中被發(fā)現(xiàn)，多因素漏洞評價方法選擇的評估指標(biāo)和漏洞評價因素初始權(quán)重如表2所示。

表2 漏洞評價因素初始權(quán)重

根據(jù)公式(1)～公式(3)，計算Ri后，將Ki歸一化處理，得到權(quán)重Wi，如表3所示。

表3 漏洞評價初始權(quán)重歸一化

假設(shè)不同資產(chǎn)上漏洞的評價項目指標(biāo)及對應(yīng)指標(biāo)值如表4所示。

表4 漏洞評價指標(biāo)值

表5 漏洞權(quán)重歸一化

根據(jù)公式(7)，計算漏洞危害消控優(yōu)先級排序指數(shù)Vj，如表6所示。

表6 漏洞危害消控優(yōu)先級排序指數(shù)

從表6可以看出，最先應(yīng)關(guān)注的漏洞是CNNVD-202101-792(高危)；CNNVD-202101-820(超危)漏洞由于等保定級僅為一級，且在復(fù)雜保護的互聯(lián)網(wǎng)訪問之下等因素，是較為不受關(guān)注的漏洞；CNNVD-202102-678(中危)漏洞，由于處于物理隔離的網(wǎng)絡(luò)環(huán)境中，雖然等保定級也較高，但使用人數(shù)較少同時利益相關(guān)者風(fēng)險承受度較高，所以排在最后處理的位置；CNNVD-202101-538(低危)漏洞由于處于無保護的互聯(lián)網(wǎng)環(huán)境之下、使用人數(shù)較多，利益相關(guān)者風(fēng)險承受度也比較低等因素，反而成為需要給予較多關(guān)注的漏洞。這一漏洞風(fēng)險評價結(jié)果，比單純使用NVD給出的CVSS基礎(chǔ)組評分或CNNVD給出的漏洞技術(shù)分級更為客觀。

3 統(tǒng)計分析

3.1 相同環(huán)境指標(biāo)的評分

本節(jié)收集了2021年1月開始CNNVD發(fā)布的100條公開漏洞，使用與評價示例中漏洞評價因素相同的初始權(quán)重，假設(shè)信息資產(chǎn)等級保護等級為三級，網(wǎng)絡(luò)防護與聯(lián)通性是復(fù)雜保護的互聯(lián)網(wǎng)訪問，具有80%的資產(chǎn)使用率，利益相關(guān)者風(fēng)險承受度低。在此環(huán)境指標(biāo)基礎(chǔ)上，CNNVD 100條公開漏洞CVSS靜態(tài)分值變化，如圖1中淺色曲線。MVSS計算得出的漏洞危害消控優(yōu)先級排序指數(shù)曲線，如圖1中深色曲線?？梢钥闯鰞蓷l曲線區(qū)別僅在于波動振幅，峰谷波動趨勢相同。在相同環(huán)境指標(biāo)下CVSS基礎(chǔ)組評分與MVSS評分漏洞數(shù)量分布上完全一致，如圖2所示。

圖1 CVSS與MVSS曲線對比

圖2 CVSS與MVSS數(shù)量分布對比

上述兩項統(tǒng)計分析說明，MVSS評價方法本身不會改變漏洞固有CVSS基礎(chǔ)組評分的相對位置，在同一系統(tǒng)中安全防護人員首先應(yīng)關(guān)注的還是CVSS基礎(chǔ)組評分較高的漏洞，這一點符合漏洞防護的基本規(guī)律。

3.2 不同環(huán)境指標(biāo)的評分

本節(jié)選取了CNNVD不同CVSS靜態(tài)分值的漏洞22個，分別以降序和升序的順序排列，計算出環(huán)境因素風(fēng)險等級由高到低情況下的MVSS分值。環(huán)境風(fēng)險指標(biāo)與漏洞CVSS靜態(tài)分值對比，如圖3所示。

圖3 環(huán)境風(fēng)險指標(biāo)與漏洞CVSS基礎(chǔ)組評分對比

可以看出，漏洞CVSS基礎(chǔ)組評分與環(huán)境因素指標(biāo)同為降序情況下，MVSS評分與CVSS基礎(chǔ)組評分走勢相同；漏洞CVSS基礎(chǔ)組評分與環(huán)境因素指標(biāo)排序方式相反時，MVSS評分與CVSS基礎(chǔ)組評分也相反，此時MVSS給出的漏洞危害消控優(yōu)先級排序結(jié)果顯示，更應(yīng)關(guān)注的是高風(fēng)險環(huán)境下的CVSS基礎(chǔ)組評分較低的漏洞。

4 結(jié)束語

該文給出的多因素漏洞評價方法，是將計算機系統(tǒng)分級評價、網(wǎng)絡(luò)防護與聯(lián)通性、資產(chǎn)使用率、利益相關(guān)者風(fēng)險承受度和漏洞技術(shù)評價指標(biāo)綜合納入量化評估范圍。通過算法生成的MVSS指數(shù)可供信息系統(tǒng)運營者和安全技術(shù)人員評判漏洞消控優(yōu)先級。選取CNNVD-202101-538、CNNVD-202101-792、CNNVD-202101-820、CNNVD-202102-678四條漏洞，以CVSS基礎(chǔ)組評分為基礎(chǔ)進行分析，展現(xiàn)了MVSS方法計算的全過程。并對2021年CNNVD發(fā)布的100條漏洞在不同環(huán)境因素下的情況進行了統(tǒng)計分析。分析結(jié)果表明，CVSS評分體系適用于對漏洞開展技術(shù)研究、廠商漏洞定級、公眾漏洞庫漏洞批露等領(lǐng)域，MVSS評分方法則更加側(cè)重于信息系統(tǒng)運營者在開展漏洞消控工作中的漏洞評級，系統(tǒng)運營者和安全技術(shù)人員使用MVSS方法可得出漏洞在實際環(huán)境中諸多因素影響下量化后的危害評估結(jié)果，對信息安全漏洞管理工作提供輔助決策依據(jù)。