ca88登陆平台

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

功夫:2022-01-05 作者:虎符智库

分享到:

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    本文3959字阅读约需15分钟

    2021年11月16日, , ,,, ,美国网络安全和基础设施安全局(CISA)凭据行政号令EO14028的要求颁布了《网络安全事务和缝隙响应手册》 。。。。。。。。手册划定的缝隙响应过程蕴含鉴别、评估、建复、汇报通知4个步骤, , ,,, ,其中评估部门的第一句话提到“使用特定有关者缝隙分类法(Stakeholder-specificVulnerabilityCategorization, , ,,, ,简称SSVC)之类的步骤, , ,,, ,确定环境中是否存在缝隙, , ,,, ,以及底层软件或硬件的沉要性” 。。。。。。。。CISA为什么着沉点名SSVC, , ,,, ,它在缝隙评估方面又有哪些特点?????本文将对此进行介绍和分析 。。。。。。。。

    一、SSVC根基理想

    1、CVSS不及之处

    通用安全缝隙评分系统(CVSS)是目前使用最为宽泛的缝隙严沉水平评估尺度, , ,,, ,缝隙的CVSS分值通常与CVE编号一路由美国国度缝隙库(NVD)颁布 。。。。。。。。

    但CVSS存在一些不及:

    (1)CVSS仅把技术严沉度作为根基准则, , ,,, ,而将功夫和环境作为可选成分, , ,,, ,三者都应该是评价缝隙的重要成分;;;;;; ;

    (2)目前短缺通过CVSS分值领导决策的有关步骤, , ,,, ,并且由于怀抱的不确定性和指标的设计, , ,,, ,从数值到定性的转换较为复杂;;;;;; ;

    (3)CVSS评分算法的参数不通明, , ,,, ,有关工作组也没有证明公式的使用, , ,,, ,因而高CVSS分值并不代表缝隙将被普遍利用或拥有公开的利用步骤;;;;;; ;

    (4)CVSS根本分值是静态的, , ,,, ,不随功夫的推移而变动;;;;;; ;

    (5)钻研批注, , ,,, ,分析者对CVSSV3评分元素的诠释并不一致 。。。。。。。。

    2、SSVC指标及总括

    对组织和分析者来说, , ,,, ,给定有限的资源, , ,,, ,哪些缝隙应该被处置, , ,,, ,哪些缝隙当前能够忽略, , ,,, ,是必要解决的问题, , ,,, ,而基于CVSS并不愿定可能有效的实现 。。。。。。。。正是思考到这些, , ,,, ,卡耐基梅隆大学软件工程钻研地点设计新的缝隙评估系统SSVC之初就明确了指标:输出是定性的决策, , ,,, ,而非定量的推算, , ,,, ,输入也是定性的;;;;;; ;可对有限数量的有关者群体提出多元化建议;;;;;; ;过程论证是通明的;;;;;; ;了局是可诠释的 。。。。。。。。总体而言, , ,,, ,SSVC是缝隙治理中操作的优先级排序系统, , ,,, ,是基于决策示范型的?????榛霾呦低常 , ,,, ,预防一刀切的解决规划;;;;;; ;SSVC是缝隙治理的概想性工具, , ,,, ,对若何做出决策、决策中应蕴含哪些内容、若何明显地纪录和沟通决策等均有描述;;;;;; ;SSVC面向各类缝隙治理有关者(同时也是供给链的重要参加成员), , ,,, ,关注存在缝隙的情况下他们的处置决策 。。。。。。。。截止目前, , ,,, ,SSVC已颁布3个版本, , ,,, ,别离是2019年11月的V1.0版本、2020年12月的V1.1版本, , ,,, ,以及2021年4月的V2.0版本 。。。。。。。。

    二、SSVC具体内容

    1、SSVC界说的缝隙治理有关者

    可凭据团队在供给链中执行的工作, , ,,, ,将有关者划分为提供者、部署者或协调者 。。。。。。。。(1)提供者即缝隙建复规划的提供者, , ,,, ,通常可以为是软件出产者 。。。。。。。。提供者通;;;;;; ;崾盏狡洳返囊桓龌蚨喔霭姹镜姆煜痘惚ǎ , ,,, ,他们需将汇报信息分化为一组受该缝隙影响的产品或版本, , ,,, ,也就是将缝隙与受影响产品进行关联, , ,,, ,并最终为受影响产品提供建复或缓解规划 。。。。。。。。(2)部署者即缝隙建复规划的部署者, , ,,, ,通常可以为是信息系统使用者 。。。。。。。。部署者通常从提供者获得针对其部署产品的建复或缓解规划, , ,,, ,他们必须决定是否将其部署到特定事俘上 。。。。。。。。部署者缝隙治理流程的主题是数据的整顿, , ,,, ,蕴含产品版本部署事俘清单的守护、缝隙与建复或缓解规划的对应、建复或缓解规划与产品版本的对应等 。。。。。。。。(3)协调者协调者是SSVCV2.0中新增的角色, , ,,, ,指的是缝隙协调披露(CVD)中推进协同响应过程的幼我或组织机构, , ,,, ,蕴含推算机安全事务响应幼组(CSIRT)、对国度掌管的CSIRT(如US-CERT)、产品安全事务响应幼组(PSIRT)、安全钻研组织、缝隙赏金和贸易经纪人等 。。。。。。。。分歧协调者的差距很大, , ,,, ,对SSVC的使用步骤也可能分歧 。。。。。。。。协调者的工作往往与一份独立的缝隙汇报有关, , ,,, ,也可能会凭据工作流程的要求沉新组织汇报, , ,,, ,如归并、拆分、扩充、缩减等 。。。。。。。。

    2、各有关者的缝隙优先级决策了局

    SSVC界说了三类有关者凭据缝隙轻沉缓急的分歧情况, , ,,, ,应做出的具体处置决策, , ,,, ,即处置缝隙的优先级决策了局 。。。。。。。。(1)提供者缝隙优先级决策了局

    表1提供者缝隙优先级决策了局

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    (2)部署者缝隙优先级决策了局

    表2部署者缝隙优先级决策了局

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    (3)协调者缝隙优先级决策了局SSVC以CERT/CC为例给出, , ,,, ,蕴含两类:·关于协调的决策了局指标是CERT/CC在收到缝隙汇报时辰析人员可获得这些信息, , ,,, ,决策了局共有3种:

    表3关于协调的决策了局

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    ·关于颁布的决策了局CERT/CC在某个功夫点上往往必须决定何时或是否颁布关于缝隙的信息, , ,,, ,共有“颁布”和“不颁布”两种决策了局 。。。。。。。。

    3、各有关者可能的决策点

    决策点是各有关者做露马脚优先级决策了局的判断凭据, , ,,, ,每个决策点又有若干决策值 。。。。。。。。SSVCV2.0中界说的提供者和部署者的决策点7项, , ,,, ,协调者(以CERT/CC为例)关于协调的决策点7项、关于颁布的决策点3项 。。。。。。。。(1)提供者和部署者决策点·可利用性(Exploitation)即自动利用缝隙的证据, , ,,, ,合用于提供者和部署者 。。。。。。。。其决策值蕴含:

    表4可利用性决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    ·技术影响(TechnicalImpact)即缝隙被利用后的技术影响力, , ,,, ,合用于提供者和部署者 。。。。。。。。其决策值蕴含:

    表5技术影响的决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    ·效用(Utility)基于攻击者能够利用该缝隙的如果, , ,,, ,对其所做的致力进行比力, , ,,, ,从而估计攻击者的收益, , ,,, ,合用于提供者和部署者, , ,,, ,其决策值蕴含:

    表6效用决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    ·安全影响(SafetyImpact)即对受影响系统的安全(safety)风险, , ,,, ,如身段健全、经济、社会、感情和生理健全等方面 。。。。。。。。其理想是有关者应知路供给链下游的直接消费者和自己软件的普遍用法, , ,,, ,并应试虑对系统操作员和对他们所提供软件的用户的安全影响 。。。。。。。。其决策值蕴含:

    表7安全影响决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    -公共安全影响(PublicSafetyImpact)提供者必须对上面描述的广义安全影响有一个粗粒度的概想 。。。。。。。。其决策值蕴含:

    表8公共安全影响决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    -情景安全影响(SituatedSafetyImpact)部署者可能对广义安全影响有更细粒度的概想, , ,,, ,将它与业务影响结合使用, , ,,, ,以简化部署者的实现 。。。。。。。。·业务影响(MissionImpact)即对组织业务根基职能(MEF)的影响, , ,,, ,重要合用于部署者 。。。。。。。。其决策值蕴含:

    表9业务影响决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    ·人员活动影响(HumanImpact)情景安全影响和业务影响的组合, , ,,, ,合用于部署者 。。。。。。。。其决策值蕴含:

    表10情景安全影响决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    ·系统露出(SystemExposure)即受影响系统或服务的可接见攻击面, , ,,, ,重要合用于部署者 。。。。。。。。其决策值蕴含:

    表11系统露出决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    (2)协调者CERT/CC决策点·CERT/CC关于协调的决策点蕴含前面的“效用”和“公共安全影响”, , ,,, ,以及5个新决策点:

    表12关于协调的决策点

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    ·CERT/CC关于颁布的决策点蕴含前面的“可利用性”及两个新决策点:-增长的公共值(PublicValueAdded)询问来自协调者的颁布对更宽泛的社区有多大价值, , ,,, ,其决策值基于缝隙现有公共信息的状态:

    表13增长的公共值的决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    -提供者投入(SupplierInvolvement)注明提供者处置缝隙的工作状态 。。。。。。。。其决策值蕴含:

    表14提供者投入的决策值

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    4、各有关者的缝隙优先级决策树

    给定一组有效的决策点和相应的特定有关者的决策了局, , ,,, ,可将它们组合成关于要采取行动的优先级的综合决策集 。。。。。。。。这种决策集及相应推导过程可使用逻辑等多种大局暗示, , ,,, ,SSVC使用决策树暗示此类信息(下列图中, , ,,, ,矩形暗示决策点、三角形暗示决策了局) 。。。。。。。。(1)建议的提供者决策树该提供者决策树思考了“可利用性”、“效用”、“技术影响”和“公共安全影响”4个决策点, , ,,, ,组合为36条决策蹊径, , ,,, ,其中决策了局为“立即”的13项、“有打算的”8项、“不定期”的13项、“推迟”的2项 。。。。。。。。

    图1建议的提供者决策树

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    (2)建议的部署者决策树该部署者决策树思考了“可利用性”、“系统露出”、“效用”和“工作影响”4个决策点, , ,,, ,组合为108条决策蹊径, , ,,, ,其中决策了局为“立即”的5项、“有打算的”69项、“不定期”的23项、“推迟”的11项 。。。。。。。。

    图2建议的部署者决策树

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    (3)建议的协调者关于协调的决策树该决策树中蕴含CERT/CC关于协调的所有决策点, , ,,, ,组合为52条决策蹊径, , ,,, ,其中决策了局为“协调”的17项、“跟踪”的15项、“回绝”的20项 。。。。。。。。

    图3建议的协调者关于协调的决策树

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    (4)建议的协调者关于颁布的决策树该决策树蕴含CERT/CC关于颁布的所有决策点, , ,,, ,组合为27条决策蹊径, , ,,, ,其中决策了局为“颁布”的13项、“不颁布”的14项 。。。。。。。。

    图4建议的协调者关于颁布的决策树

CISA《网络安全事务和缝隙响应手册》提到的SSVC是什么?????

    三、将来工作及总结

    卡耐基梅隆大学软件工程钻研所将在以下方面持续提升SSVC:(1)通过钻研社会学步骤网络需要, , ,,, ,选取持久、结构化的访谈等获取从业者和决策者想从缝隙评价中得到的价值等的经验性凭据;;;;;; ;(2)协调者方面除思考CSIRT表, , ,,, ,也将关注PSIRT的需要;;;;;; ;(3)SSVC目前未思考因执行缓解或建复措施而产生的调换风险, , ,,, ,下一步将提供评估调换风险或缝隙风险有关成本的步骤;;;;;; ;(4)进行更深刻的决策树测试, , ,,, ,在决策树靠得住之前, , ,,, ,必要对分歧的分析人员进行更多测试;;;;;; ;(5)思考SSVC的国际化和本地化问题 。。。。。。。。

    作者以为, , ,,, ,SSVC作为一种缝隙评估步骤, , ,,, ,其特点重要体现为三个“面向”:

    面向供给链, , ,,, ,面向决策了局, , ,,, ,面向实际经验

    面向供给链, , ,,, ,有关者的角色可凭据他们在供给链中执行的工作来确定, , ,,, ,并且“安全影响”等决策点中也明确指出, , ,,, ,有关者应试虑在供给链中对下游用户的安全责任;;;;;; ;

    面向决策了局, , ,,, ,SSVC关注各有关者缝隙处置优先级的决策了局, , ,,, ,更多结合定性的判定而非定量的推算, , ,,, ,思考的成分也越发多元;;;;;; ;

    面向实际经验, , ,,, ,SSVC系统中的决策点、决策值等内容会凭据试验测试的了局来增删调整, , ,,, ,而非仅靠理论界说, , ,,, ,并且后期还将引入系统的结构化访谈等步骤获得经验性数据 。。。。。。。。

    董国伟, , ,,, ,虎符智库专家, , ,,, ,ca88登陆平台代码安全尝试室高级专家, , ,,, ,博士, , ,,, ,从事网络安全、软件安全、代码审计和缝隙分析有关工作近20年 。。。。。。。。

ca88登陆平台 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

ca88登陆平台 在线客服 ca88登陆平台 95015

您对ca88登陆平台的任何疑难可用以下方式通知我们

将您对ca88登陆平台的任何疑难

用以下方式通知我们

【网站地图】【sitemap】