CVE虽然生的伟大但已落后太多 原因竟然是……

作者:星期三, 七月 19, 20170
分享:

批评者认为,MITRE管理的通用漏洞与暴露(CVE)项目,已远不能实现其分类并识别所有已知漏洞的使命。CVE拥护者称,新模型正弥补该差距。

CVE无疑是个伟大的概念:公开发布软件或固件中所有已知漏洞的“字典”,供公司企业查询自身面临风险。然而,在非营利研发组织MITRE发起该项目18年后,关于其效果,有了很多争议。

在各处公布的所有漏洞中,商业数据库目前跟踪到了约80%,CVE在60%到80%之间。于是做风险决策的时候,盲区有50%左右。这是很严重的缺失,而且由于组成物联网的设备和随之而来的漏洞持续爆炸式增长,情况只会越来越糟。

CVE的识别与分类已落后太多太多。

——约书亚·科曼 大西洋理事会网络国策倡议理事

在去年9月的一篇文章中,CSO在线高级撰稿人史蒂夫·雷根表示:“CVE系统遭遇了瓶颈和覆盖面空白,数千漏洞未分配CVE编号。这些空白将企业领导人和安全团队暴露给诸多漏洞,让他们依赖CVE编号才能起效和评估风险的安全产品甚至不知道这些漏洞的存在。”

糟糕的是,CVE董事会的几位成员——包括来自网络安全社区不同部分的25人,同样持批评态度。

目前有52,913个漏洞没有CVE编号,缺失的数量占被分类总数158,413的33%。然而,该百分比的改善,却是以准确性和质量为代价的。因为缺乏关键细节,同时未包含有所帮助的参考资料,有些CVE描述对消费者基本没用。因此,想要从CVE编号中获益,消费者不得不做更多的工作,试图理解该问题。MITRE在其分配和抽象规则上也经常反复。有些时候给一组问题分配了太多ID,有些时候连年份编号都搞错了。

CVE的滞后甚至惊动了美国国会。众议院能源和商业委员会主席,及其下属委员会3名委员,在3月30号给负责管理CVE的MITRE致函。为MITRE提供资金的国土安全部(DHS)建议,MITRE应预测漏洞发展态势,并询问了MITRE对CVE滞后问题的打算。

发给MITRE的信函中称:“与CVE项目短板相关的联网设备和服务的爆炸式发展,虽然很快,却并非一夕之功。有鉴于此,我们希望了解MITRE和CVE项目在预测和应对该发展上失败的原因,以及为确保该项目更有效服务其基本使命,还有什么可以做的。”

尽管想要了解详情,但目前委员会明显不想公众得知内情——虽然该项目也是纳税人的钱支持的。去函要求在4月13日前回复,但委员会至今未透露任何与MITRE或DHS联系的进一步信息。委员会发言人丹·施耐德称MITRE已回复,但他拒绝讨论任何与该项目相关问题。

DHS公共事务办公室的露西·马丁内兹称:“我们不对国会通信联系做任何评论,将直接答复国会议员。”她甚至未回应查看MITRE回复的简单要求。另外,无论MITRE还是DHS,都拒绝说出该项目每年经费开销数额。雷根报出的数字,只是2006年120万美元。

关于数千漏洞没有CVE编号的投诉,MITRE发言人珍妮弗·朗称:“CVE项目只对MITRE感知到,且符合漏洞定义的100%漏洞分配编号。网络生态系统中确实有未知数量的漏洞可以分配编号。问题在于,因为这些漏洞没有报给CVE项目,我们无法量化其比例。统计漏洞的方法不唯一,也没有全球公认的方式,不同组织对漏洞的定义和统计是不一样的。”

这让马丁十分困扰:“鉴于CVE项目的本质,我真心认为MITRE的响应应该公开。他们所谓的CVE‘利益相关者’,或者我认为的‘消费者’,应了解MITRE准备怎么解决这些问题。”

然而,该项目拥护者称,情况正在变好,过去15个月以来一直在改善。他们将这一改善归功于所谓的“联合系统”——招募了62CNA(CVE编号机构)之类的组织来发现新漏洞并分配ID编号。

肯特·兰德菲尔德,迈克菲首席标准与技术策略师,CVE董事会创始会员,承认MITRE不堪漏洞“爆炸”重负。他说,问题在2016年1月浮出水面,社区、董事会和MITRE出现了分歧。此后,事情就向着正确的方向发展了。虽然过去MITRE大权在握,不愿引入新的CNA,他们如今开始了联合模式。某种程度上这还只是个实验,但确实从2016年3月开始了。

目的就在于,将CVE编号负担分担给负责不同门类CVE的“根”CNA。

其中一个例子,是分布式弱点归档(DWF)项目——负责查找并识别开源软件中漏洞的项目。其他CNA——微软、评估和谷歌之类的大公司,识别并分类在其产品中找到的漏洞。

兰德菲尔德称,底线是“我们设置一个能扩展的机制——得是可持续的。而这也正是当前正在发生的。”

库尔特·谢福瑞德,DWF项目总监,红帽产品安全高级软件工程师,CVE董事,对此表示认同。弥补CVE空白的方法很简单:加入更多CNA拓展CVE。

这意味着要建立一个类似DNS(域名系统)的监管模型——MITRE是根,DWF是所有开源产品的次根,微软是所有微软产品的次根,诸如此类,每个国家/行业垂直分类都有各自的CNA层级分管。该操作模型更加点对点,CNA按需联系彼此。

谢福瑞德指出,自联合模型启动,“我们就倍增了CNA数量,2016年便分配了1万多个CVE编号。我们还在自动化和其他自服务风格方面做出了努力,以持续推进该过程来满足需求。”

朗补充称,“联合”模式开启时,CNA数量仅为22,自那之后,增加了40个,且新CNA候选人持续进入视野。

于是,这是否意味着,尽管问题仍在,但情况正朝着逐渐解决的方向走呢?阿尔特·曼宁,卡耐基梅隆大学软件工程学院CERT部门漏洞分析技术经理,另一CVE董事,对此持谨慎乐观态度。谨慎,因为他认为马丁的部分批评是对的——虽然差距大小仍有争辩可能,但无论以何种标准衡量都“十分巨大”了,而且,当前模式下确实不可能跟上IoT带来的漏洞大爆发。

每年分配1万到1.4万个漏洞编号根本是低了一个数量级。该问题已经超出了人力范畴,只有用自动化来解决。但因为曼宁本人就是致力于将自动化引入编号分配过程的CVE董事会工作组成员之一,他对CVE也持有乐观态度,“有迹象表明联合系统在起作用,虽然现在下结论还为时过早。”

马丁认为,长期的成功还取决于做好基础工作。“MITRE用了太多纳锐人的钱在行政管理位置上,而不是将资金更多地投入到直接支持该数据库的人身上。”

 

分享:

相关文章

写一条评论

 

 

0条评论