冲程体积是什么和它是如何不同于CVSS吗?

这个博客系列将提供一个深入的讨论脆弱性优先级评级从许多不同的角度(冲程体积)。第一部分将重点冲程体积的显著特点,使它成为一个更合适的工具优先考虑补救的努力比普通危险得分系统(CVSS)。

冲程体积是多少?

脆弱性优先级评级(冲程体积),输出的站得住脚的预测优先级,帮助组织提高修复效率和有效性的评价基于严重性级别的漏洞——关键,高、中、低——由两部分组成:技术的影响和威胁。

技术影响措施的影响机密性、完整性和可用性剥削的脆弱性。它相当于CVSSv3“影响”的得分。组件既反映了最近的威胁和潜在的未来威胁活动反对一个漏洞。威胁来源影响的一些例子冲程体积是公开的概念验证(PoC)的研究,开发在社交媒体上的报道,出现在开发工具和框架,利用代码引用网络上黑暗的剥削和黑客论坛和检测恶意软件在野外散列。此类威胁情报是关键优先这些漏洞,构成一个组织的最危险。

冲程体积是专为脆弱优先级

CVSS框架一直批评其无法有效地优先考虑漏洞修复。这主要是因为它是用来测量技术脆弱性的严重程度,而不是他们造成的风险。卡内基梅隆大学(CMU2019)公布的一份报告指出:

普通危险得分系统(CVSS)被广泛滥用对脆弱性的优先级和风险评估,尽管旨在衡量技术严重程度。

经常批评的一个问题,当它用于漏洞修复,是高和批判性的大部分漏洞在CVSS评级。在写这篇文章的时候,有超过16000的漏洞被评为9.0或更高版本(每CVSSv2)——占13%的漏洞。CVSSv3 CVSS的最新版本,在这个问题上并没有提高。超过60000个漏洞已经被CVSSv3额定2015年6月发布以来。大约9400 CVSSv3漏洞被评为9.0或更高版本,占所有的16% CVSSv3漏洞。当一个大比例的漏洞被认为是关键,优先级很麻烦。

图1所示。比较CVSSv3和冲程体积脆弱性分布的临界评级

冲程体积是为了避免这类问题将威胁信息纳入其公式。上面的图表比较脆弱的冲程体积分布和CVSSv3。由于威胁的动态特性,冲程体积的数量每天致命略有变化。平均每天,冲程体积率大约700个漏洞是关键,只有不到5000高。这些数字占不到1%和4%,分别的漏洞。用更少的关键弱点集中、安全团队可以更有效地设计漏洞修复计划。

一个自然的问题在这个阶段是功效:高风险漏洞可以被冲程体积多少?这篇文章的其余部分将比较冲程体积的功效和CVSSv3识别风险漏洞。但首先,我们将研究如何生成冲程体积。

冲程体积:

冲程体积是机器学习模型的核心合作预测的威胁。具体来说,威胁预测试图回答这个问题:什么是适当的水平的短期威胁脆弱性根据可获得的最新数据?训练冲程体积模型来回答这个问题,它是用历史数据来自各种源:

• 威胁情报源提供相关信息攻击和攻击漏洞,比如妥协(IoC)的观测指标,引用网络上黑暗的剥削,剥削在社交媒体上的报道或代码库等等。他们提供冲程体积与信息漏洞可能导致剥削和一直在主动攻击。
• 利用库/工具包提供的信息利用成熟的代码。核武化的不同级别的成熟度(PoC)的贡献不同的威胁。
• 漏洞库和安全报告提供内在脆弱性特征,也可能是与威胁。

集体,这个原始数据是每天喂冲程体积管道。冲程体积分数(9.6在下面的例子中)是由结合预测的威胁和影响(取自CVSSv3影响分数)为每个漏洞。图2说明了这个过程。

图2。冲程体积管道

比较冲程体积与CVSS漏洞修复

比较分析强调补救策略基于冲程体积可以比CVSS-based方法更高的功效。

冲程体积重视漏洞与新兴剥削

对新兴威胁采取积极的态度可以帮助安全团队达到一次缓冲区攻击表面硬化。主动防御的一个例子是频繁扫描网络和补丁漏洞分为CVSS修复窗口的关键。这种方法可以导致网络高效硬化,但通常是很难执行的大量漏洞落入这一类。

冲程体积设计优先考虑脆弱性被威胁目标的可能性更高的演员在短期内,过滤掉那些被认为是低风险的。这是预测冲程体积的性质。在这一点上,一个可能是好奇的预测是如何制造的。这里没有魔法!冲程体积的预测是基于一个简单的规则:漏洞的威胁的演变在野外通常会遵循相同的模式类似的漏洞也跟着过去。

在以下表中,我们表明,补救策略旨在遵循冲程体积可以达到同样水平的功效,修复所有CVSS致命和更高的效率。在这里,我们使用的能力来识别漏洞与国际奥委会在接下来的28天对CVSSv3基准冲程体积。国际石油公司工件,通常被认为是剥削的强有力的证据。包括恶意软件散列,IP地址,网址等。我们获得国际石油公司从商业数据提供者ReversingLabs和VirusTotal等。

表1。与国际奥委会在野外发现漏洞的数量在未来28天为冲程体积(左)和CVSSv3(右)

错:没有国际奥委会发现后28天冲程体积计算
真的——国际奥委会中发现后28天冲程体积计算

上面的表比较的性能冲程体积(左)与CVSSv3(右)预测在接下来的28天漏洞和威胁。在本例中使用的冲程体积分数从2020年1月和漏洞的国际石油公司收集的28天期后生成冲程体积。冲程体积高,关键也有类似的报道与国际奥委会作为识别CVSSv3漏洞。换句话说,这两种策略捕捉同样数量的漏洞与实际国际石油公司在接下来的4周:365 428冲程体积高和批判性,376 CVSS高和至关重要的。

然而,冲程体积比CVSSv3更有效预测与国际石油公司在接下来的28天漏洞。比较这两个,有26%冲程体积关键和17%冲程体积高CVSSv3关键和高的只有1%。截至前1500名冲程体积分数一样有效的医治前33000名CVSSv3分数——大约22倍更有效。

冲程体积重视对已知漏洞利用代码

有高度成熟的开发代码增加网络罪犯的可能性将使用网络攻击的脆弱性。因此,重要的是,冲程体积优先与公开漏洞利用代码可用。注意,我们利用分类代码成熟用于分析遵循CVSS的公约。总之,高成熟度意味着功能,自主开发代码的存在。功能意味着利用代码是突破和PoC意味着利用代码的工作方式,在理论上。可以找到更多的细节CVSSv3规格(CVSSv3)。我们从多个源利用代码存储库和开发工具,如Metasploit,核心的影响,利用DB, D2艾略特,包风暴,只是仅举几例。

图3比较的比例与已知的漏洞利用代码用于冲程体积和CVSSv3。超过一半的冲程体积关键漏洞(54%)有公共利用代码(即。、高功能性和PoC)和15% CVSS关键的漏洞。这表明优先漏洞利用冲程体积会减少漏洞利用代码所带来的风险。

图3。比例每个临界频带爆发的漏洞利用代码成熟度冲程体积(上)和CVSSv3(底部)

下一个要问的问题是:有多少比例高和功能漏洞利用代码被冲程体积吗?换句话说,什么是覆盖冲程体积与高度成熟的漏洞利用代码?图4比较了冲程体积的比例和CVSS根据各级利用代码成熟度:

• 成熟度较高的漏洞利用代码(高和功能)大多是被冲程体积的关键和高的漏洞。这是类似于CVSS。但是,考虑到大量的cf CVSSv3评为关键和高,冲程体积更有效地优先与已知漏洞利用代码。
• 冲程体积分布的临界非常不同(即与较高成熟度漏洞利用代码。,比低成熟度(即高和功能)。,PoC和未经证实的)。大多数与PoC漏洞利用代码评为中等冲程体积。而且,低冲程体积分数和未经证实的漏洞利用代码。另一方面,CVSSv3更均匀分布在所有开发成熟度级别的代码。这从另一个角度表明,冲程体积和关键关联性更强/高功能利用代码比CVSS成熟度高和至关重要的。

图4。比例的成熟乐队爆发在每个利用漏洞代码脆弱性临界级别:冲程体积(上)和CVSSv3(底部)

冲程体积重视对升级漏洞利用代码成熟

国际石油公司提供开发的直接证据,但并不是唯一的威胁的迹象。另一个信号是当有积极研究如何利用漏洞:漏洞利用代码变得可用的或已经升级成熟。

表2。升级成熟的漏洞利用代码的数量在未来28天的冲程体积(上)和CVSSv3(底部)

表2比较冲程体积的功效与CVSS捕捉漏洞利用代码成熟升级PoC,功能或高,分别后的28天冲程体积得分。这些漏洞在积极研究开发。表中的行与漏洞临界。列与成熟开发代码。细胞中的值表示的数量与升级或成熟的开发代码漏洞后28天冲程体积得分。例如,四个漏洞评为冲程体积关键利用成熟代码升级高点在接下来的28天。这是我们的分析:

• 冲程体积命中率高于CVSSv3当预测的漏洞利用代码成熟度将升级为高后的28天冲程体积得分。这类的八个漏洞,冲程体积认定四个CVSS的关键两个相比。

• 并不是所有的成熟度由冲程体积平等利用代码。冲程体积关键强调漏洞与更高成熟度级别:
• 50%(4,8)升级到高的漏洞被评为冲程体积至关重要。
• 30%(2的6)升级到功能的漏洞被评为冲程体积至关重要。
• 只有4%(24)中就有一个升级的漏洞PoC评为冲程体积是至关重要的。

• CVSSv3关键的情况与此相反,它包含一个混合的成熟度级别:高25%,50%功能和PoC为21%。

• CVSSv3具有较高的覆盖率捕获与升级漏洞利用代码:多个漏洞额定CVSSv3关键和高利用代码的成熟度高于冲程体积关键和高:
• 总共31与升级漏洞利用代码成熟度评价CVSSv3关键或高。其中,利用七漏洞被升级到高成熟,PoC四个功能和20。
• 总共11漏洞利用代码升级或高成熟度额定冲程体积是至关重要的。其中,利用五个漏洞被升级到高成熟,两个功能和四个PoC。

所以,在修补漏洞的情况下,利用代码升级目标,一个好的策略是第一优先考虑基于冲程体积得到高命中率的关键,其次通过CVSS高和批判性,反过来,增加覆盖范围。

总结

在这篇文章中,我们已经讨论了冲程体积,使它不仅仅是另一个CVSS。总而言之:

• 冲程体积是专为漏洞修复优先级。其计分公式同时考虑技术特点和威胁的情报。
• 下冲程体积比CVSSv3预测更高效漏洞的威胁:
• 为硬化对新兴剥削你的网络在野生环境中,基于优先级漏洞~ 400冲程体积关键可以达到同样水平的功效~ 9000 CVSSv3至关重要。
• 硬化与已知的网络攻击漏洞利用代码,基于优先级漏洞~ 1500冲程体积至关重要的和高可以达到同样水平的功效和高33000 CVSSv3至关重要的。
• 硬化与升级您的网络攻击漏洞利用代码到期,第一优先使用冲程体积关键漏洞得到高命中率,然后由CVSS增加报道的关键。

获得更多的信息

• 现在开始你的免费试用在行动——在看到冲程体积Tenable.io(in the cloud)和站得住脚的。sc(本地)
• 了解更多关于站得住脚的预测优先级和冲程体积

引用

(CMU2019)J.M.春天,e . Hatleback户主,马尼恩a, d .醉的,对改善CVSS,白皮书,2019年
(CVSSv3)普通危险得分系统3.1版本:规范文档