SYS SECURITY 系统安全
一、信息安全风险评估现状
一般而言,风险被认为是可能性(likelihood)和影响(impact)的函数。在信息安全情境中,可能性和影响则来源于对资产价值(ast)、威胁(threat)、脆弱性(vulnerability)和控制(control)及其相互组合的判断[1-2]。
显然,这些判断一般都是定性的,依赖于专家经验[3],其中包括了两个层次:(1)这几个要素之间的组合是人为判断的,例如,资产面临什么样的威胁,威胁又可以利用什么样的脆弱性;(2)要素结合之后的可能性和影响判断也依赖于人为的判断,例如,某次攻击成功的可能性多高,会对现有的系统造成多大的影响。
文献[4-5]提出了Crisk风险评估方法,其中威胁和脆弱性定义为成对出现,在尚未映射到具体的资产时便赋予了“发生容易度”和“暴露等级”两个属性。这使得基于知识库的自动化评估成为可能。其流程及其支持库,如图1所示。
图1 Crisk风险评估流程及其支持知识库
但是,限于数据的匮乏等因素,该文献中并未能给出建立知识库的最佳路径,本文中讨论了其中的数据
来源问题,并给出了一个较为可行的途径。
二、CVE、CWE与CAPECchristmas tree
通用脆弱性与暴露(Common Vulnerabilities and Exposures,CVE)是一个字典,它为每一个公开的脆弱性或漏洞指定一个唯一的名称,并分配一个唯一的号码,从而使信息分享变得更加迅速,不同安全产品的整合也变的可能。对应到信息安全风险评估的流程中,为识别脆弱性的依据之一。
CVE由MITRE Corporation[ MITRE并不是传统意义的公司,而是一个非营利组织,接受各种基金资助。]在1999年9月建立,最早只有321条数据,由于其免费和共同维护等特点,CVE目前已经发展成为业界应用最广泛的数据库之一,截止2018年11月28日已经达到109842条数据。每一项CVE数据包括编号,简短描述,以及相关参考。
值得指出的是,NIST[ 美国国家标准与技术研究院(National Institute of Standards and Technology,NIST),其网址为在2005年又建立了美国国家漏洞数据库(U.S. National Vulnerability Databa,NVD)。CVE和NVD实际都是受美国国土安全部(U.S. Department of Homeland Security)资助,且两者保持了同步,但是NVD数据更全一些。
通用漏洞枚举(Common Weakness Enumeration,CWE)实际上一个弱点分类,这些弱点可能会导致脆弱性,例如,CWE-89: SQL Injection,与该类相关的CVE有7569条[ 查阅时间为2018年11月28日],选取其中一条作为示例,CVE-2013-0375:MySQL Stored SQL Injection。
CWE既可以作为识别CVE的参考,也可作为脆弱性描述处理。CWE目前也由MITRE Corporation负责运营,该项目建立于2005年,目前共有716项数据。
通用攻击模式枚举及分类(Common Attack Pattern Enumeration and Classification,CAPEC)类似于CWE也是针对分类的,提供了公开的可用攻击模式,在信息安全风险评估中对应威胁。CAPEC是由美国国土安全部建立于2007年,最初是作为软件保障的一部分。目前有数据519条。
但是,威胁和脆弱性描述在很多时候区别是模糊的,例如,CWE-89:SQL Injection,CAPEC-66:SQL Injection,也就是说SQL注入即是攻击模式,也是通过漏洞。一般而言,威胁讨论的是外因,脆弱性讨论的是自身不足。对于CWE-89和CAPEC-66而言,CAPEC-66关注的是如何攻击,即如何利用已有的脆弱性,CWE-89强调的是软件存在这类弱点,因此可能会被利用。
三、CPE, OVAL与CVSS
通用平台枚举(Common Platform Enumeration,CPE)也是一个字典,CPE为IT产品和平台提供
了统一的名称,同时也试图成为标准的机器语言。CPE运营原来也归属MITRE Corporation,2014年转交NIST,作为NVD基础资源的一部分。CPE在信息安全风险评估过程中对应资产识别。
芥子气是什么公开脆弱性及评估语言(Open Vulnerability and Asssment Language,OVAL)用于表述系统的安全状态,是可以用于检测的技术细节指导。OVAL将其分为三个步骤:首先获取系统配置信息,然后分析状态,例如脆弱性,配置和补丁等,最后报告结果。OVAL建立于2010年,2016年
基于知识库支持的信息安全风险评估流程设计
吴 骏 谢宗晓 林润辉
turnupthemusic
◆
摘要:论文主要介绍了CWE,CVE,CPE,OVAL,CVSS和CAPEC等对信息安全风险评估有支
撑作用的知识库及其相互关系,同时也改进了Crisk风险评估流程。
关键词:
信息安全;风险评估;风险管理
信息系统工程 │ 2019.1.2063
SYS SECURITY 系统安全
从MITRE Corporation转交至Center for Internet Security (CIS)Center for Internet Security是一个非营利组织,建立于2000年,主要关注网络安全(cybercurity)。
通用脆弱性评分系统(Common Vulnerability Scoring System,CVSS)试图为每个脆弱性一个大致的评分,以表征其严重程度。CVSS目前由FIRST[ 建立于1990年,主要关注蠕虫(worm)等安全问题]的Special Interest Group (SIG)负责运营。
四、上述知识库的整体架构
上述知识库的协作模式如图2所示。
图2 可以用知识库的协作模式
以CVE-2013-0375为例,其英文描述格式如表1所示。
表1 CVE-2013-0375 MySQL Stored SQL Injection广交朋友
CVE-2013-0375:MySQL Stored SQL Injection
Vulnerability脆弱性A vulnerability in the MySQL Server d a t a b a s e c o u l d a l l o w a r e m o t e, authenticated ur to inject SQL code that MySQL replication functionality would run with high privileges. A successful attack could allow any data in a remote MySQL databa to be read or modified.
Attack攻击An attacker requires an account on the target MySQL databa with the privilege to modify ur-supplied identifiers, such as table names. The account must be on a databa which is being replicated to one or more other MySQL databas. An attack consists of logging in using the account and modifying an identifier to a new value that contains a quote character and a fragment of malicious SQL. This SQL will later be executed as a highly privileged ur on the remote system(s).
The malicious SQL is injected into SQL statements that are part of the replication functionality, preventing the attacker from executing arbitrary SQL statements.
CWE弱点类目CWE-89 [SQL命令中使用的特殊元素转义处理不恰当(SQL注入)]
CPE 受影响的平台
与产品cpe:/a:mysql:mysql:5.1.23a MySQL 5.1.23a
cpe:/a:mysql:mysql:5.1.50 MySQL 5.1.50
cpe:/a:mysql:mysql:5.1.49:sp1 MySQL 5.1.49
Service Pack 1…….
OVAL用于检测的
技术细节i have a dream 马丁路德金
oval:org.mitre.oval:def:17175 Vulnerability
in the MySQL Server component of
Oracle MySQL (subcomponent: Server
Replication). Supported versions that are
affected are
oval:org.mitre.oval:def:21000 RHSA-
2013:0219:m y s q l s e c u r i t y u p d a t e
2012流行歌曲排行榜(Moderate)
oval:org.mitre.oval:def:23738 ELSA-
2013:0219:m y s q l s e c u r i t y u p d a t e
(Moderate)
o v a l:o r g.m i t r e.o v a l:d e f:27382
DEPRECATED: ELSA-2013-0219 --
mysql curity update (moderate)
19-May-20*OVAL详细的描述了检测该漏洞的方
法,可以从相关的OVAL定义中找到更
多检测该漏洞的技术细节。
官方数据库链接cve.mitre/cgi-bin/cvename.
cgi?name=CVE-2013-0375 MITRE
web.v/view/vuln/
detail?vulnId=CVE-2013-0375 NVD
wwwnvd/vulnerability/
show/cv_cnnvdid/CNNVD-201301-310
CNNVD
ruoyu
五、风险评估与知识库的结合
综上所述,在结合了CWE,CVE,CPE,OVAL,CVSS
和CAPEC等知识库之后,图1中所示的Crisk风险评估流程
蓝图英文修改为图3所示。H
图3 加入知识库后的Crisk风险评估流程
参考文献
[1] 谢宗晓. 信息安全风险管理相关词汇定义与解析[J]. 中国标准
导报,2016,04:26-29.
[2] 谢宗晓, 刘立科. 信息安全风险评估/ 管理相关国家标准介绍
[J]. 中国标准导报
, 2016,05:30-33.
[3]赵战生, 谢宗晓. 信息安全风险评估( 第2 版)[M]. 中国标准
出版社,2016.
[4] 谢宗晓. 信息安全风险评估方法与工具研究[D]. 硕士学位论
文, 北京科技大学,2006,03.
多谢粤语[5] 官海滨, 谢宗晓, 王兴起. 基于知识库的信息安全风险评估方
法Crisk 及其工具实现[J]. 青岛大学学报( 自然科学版),2013,01:66-70.
(作者单位:吴骏,南开大学商学院;谢宗晓,中国金
融认证中心;林润辉,南开大学商学院,南开大学中国公司
治理研究院)
信息系统工程 │ 2019.1.20
64