用实际危害说话:评定产品安全性的新指标

  • A+
所属分类:知识科普

用实际危害说话:评定产品安全性的新指标

对产品或应用的安全性做出科学的评判是一项很困难的事。相关机构一般的做法,只是会根据操作系统和热门应用程序披露的漏洞个数,来衡量其安全性。

评定安全性的老办法:只根据漏洞个数

通常来说,复杂的环境可能导致不同的结果。来自马里兰大学的研究人员,在本周于瑞典召开的《攻击、渗透与防御研究》的专题讨论会中,发表了这次的研究成果,他们希望引入一组新的、基于真实环境下收集的漏洞利用的数据指标。
他们在报告中写道,《不一样的漏洞:在真实环境下研究漏洞和攻击》,其中提出了另一种概念。安全研究人员以前之所以过去把漏洞的个数当作评估系统和应用程序安全性的最好的方法,是因为大多数漏洞并没有被实际利用过,攻击条件也是一种不准确的指标,因为用户经常往操作系统里安装应用程序,或者更改里面的配置。

“现有的安全指标,如一个产品的漏洞数量,或是其理论上的攻击条件,并没有考虑到以上这些影响因素。”

团队的研究人员–Kartik Nayak, Daniel Marino, Petros Efstathopoulos和Tudor Dumitras在他们的报告中陈述道。

细数新定指标

对此,研究人员提出了两个新的评估指标:一个可以衡量漏洞是否得到利用,而另一个则可以衡量漏洞的利用频率。

新定指标相关内容为:

1.从一批可靠的数据来源中,我们收集到了真实环境下实施利用的漏洞,其中的来源包括国家漏洞库、供应商的IPS以及反病毒签名库。
2.漏洞利用率指的是在一定时段内利用的时候,产品漏洞被捕获的那部分的利用率。(比如在产品某版本发布的头几个月内)
3.攻击当量:计算某产品在特殊时间段被攻击的频繁程度。
4.攻击条件:特定时间段内符合攻击条件的区域,实质上这反映了主机上漏洞利用的数量。

真实环境下的研究

研究人员实验中使用的一些数据来源,其中包括国家漏洞库,以及来自六千三百多万主机上的反病毒和入侵防护数据。他们检查了每个版本的Windows,从Winxp到Win7,以及新版本的Adobe Reader,Office和IE浏览器,最后得出结论:这些程序已披露的漏洞,在单独进行攻击时的利用率在35%以下。但是当综合利用各产品漏洞时,其比例下降到了15%,而随着新版产品的发布,该比例还在下降。
举个例子,ASLR和DEP的展示将Win7放到了Windows产品历史中前所未有的高度。同样的情形也在Adobe Reader的介绍沙盒时重演。
研究人员表示,踏出实验室在真实环境里进行研究是非常有必要的

准确率的提升

“因为漏洞计数和攻击条件能预估出攻击者成功的几率。虽然这种方法不一定非常准确,但我们还是转而专注于在该领域进行突破,”研究人员写道。“结合现有的指标,加上进行安全漏洞和攻击行为对真实环境的影响的考量,可以对网络攻击的风险做出更准确的评估。”
研究人员称,新指标可以帮助系统或网络管理员获取一个更加准确的风险评估,若有漏洞可以提前获得修补。

FreeBuf:原文描述有些复杂,译文中加入了一些改动和注释,但大意不变,希望能让读者更方便理解。

[参考信息来源threatpost.com,译/FreeBuf实习小编dawner,转载请注明来自FreeBuf.COM]

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: