CISA《网络安全事件和漏洞响应手册》提到的SSVC是什么?

news2024/11/17 11:53:15

2021年11月16日,美国网络安全和基础设施安全局(CISA)根据行政命令EO
14028的要求发布了《网络安全事件和漏洞响应手册》。手册规定的漏洞响应过程包括识别、评估、修复、报告通知4个步骤,其中评估部分的第一句话提到“使用特定相关者漏洞分类法(Stakeholder-
specific Vulnerability
Categorization,简称SSVC)之类的方法,确定环境中是否存在漏洞,以及底层软件或硬件的重要性”。CISA为什么着重点名SSVC,它在漏洞评估方面又有哪些特点?本文将对此进行介绍和分析。

##一、SSVC基本理念

###1、CVSS不足之处

通用安全漏洞评分系统(CVSS)是目前使用最为广泛的漏洞严重程度评估标准,漏洞的CVSS分值通常与CVE编号一起由美国国家漏洞库(NVD)发布。但CVSS存在一些不足:

(1) CVSS仅把技术严重度作为基本原则,而将时间和环境作为可选因素,三者都应该是评价漏洞的主要因素;

(2)目前缺少通过CVSS分值指导决策的相关方法,并且由于度量的不确定性和指标的设计,从数值到定性的转换较为复杂;

(3)CVSS评分算法的参数不透明,相关工作组也没有证明公式的使用, 因此高CVSS分值并不代表漏洞将被普遍利用或具有公开的利用方法;

(4) CVSS基本分值是静态的,不随时间的推移而变化;

(5) 研究表明, 分析者对CVSS V3评分元素的解释并不一致。

###2、SSVC目标及总括

对组织和分析者来说,给定有限的资源,哪些漏洞应该被处理,哪些漏洞当前可以忽略,是需要解决的问题,而基于CVSS并不一定能够有效的实现。

正是考虑到这些,卡耐基梅隆大学软件工程研究所在设计新的漏洞评估体系SSVC之初就明确了目标:
输出是定性的决策,而非定量的计算,输入也是定性的;可对有限数量的相关者群体提出多元化建议;过程论证是透明的;结果是可解释的。

总体而言,SSVC是漏洞管理中操作的优先级排序系统,是基于决策树模型的模块化决策系统,避免一刀切的解决方案;SSVC是漏洞管理的概念性工具,对如何做出决策、决策中应包含哪些内容、如何清楚地记录和沟通决策等均有描述;SSVC面向各类漏洞管理相关者(同时也是供应链的主要参与成员),关注存在漏洞的情况下他们的处理决策。

截止目前,SSVC已发布3个版本,分别是2019年11月的V1.0版本、2020年12月的V1.1版本,以及2021年4月的V2.0版本。

##二、SSVC具体内容

###1、SSVC定义的漏洞管理相关者

可根据团队在供应链中执行的任务,将相关者划分为提供者、部署者或协调者。

(1) 提供者
即漏洞修复方案的提供者,一般可认为是软件生产者。提供者通常会收到其产品的一个或多个版本的漏洞报告,他们需将报告信息分解为一组受该漏洞影响的产品或版本,也就是将漏洞与受影响产品进行关联,并最终为受影响产品提供修复或缓解方案。

(2) 部署者
即漏洞修复方案的部署者,一般可认为是信息系统使用者。部署者通常从提供者获得针对其部署产品的修复或缓解方案,他们必须决定是否将其部署到特定实例上。部署者漏洞管理流程的核心是数据的整理,包括产品版本部署实例清单的维护、漏洞与修复或缓解方案的对应、修复或缓解方案与产品版本的对应等。

(3) 协调者 协调者是SSVC
V2.0中新增的角色,指的是漏洞协调披露(CVD)中促进协同响应过程的个人或组织机构,包括计算机安全事件响应小组(CSIRT)、对国家负责的CSIRT(如US-
CERT)、产品安全事件响应小组(PSIRT)、安全研究组织、漏洞赏金和商业经纪人等。不同协调者的差异很大,对SSVC的使用方法也可能不同。协调者的工作往往与一份独立的漏洞报告相关,也可能会根据工作流程的要求重新组织报告,如合并、拆分、扩充、缩减等。

###2、 各相关者的漏洞优先级决策结果

SSVC定义了三类相关者根据漏洞轻重缓急的不同情况,应做出的具体处理决策,即处理漏洞的优先级决策结果。 (1)提供者漏洞优先级决策结果

表1 提供者漏洞优先级决策结果

(2)部署者漏洞优先级决策结果

表2 部署者漏洞优先级决策结果

(3)协调者漏洞优先级决策结果SSVC以CERT/CC为例给出,包括两类: · 关于协调的决策结果 目标是CERT/CC在收到漏洞报告时分析人员可获得这些信息,决策结果共有3种:

表3 关于协调的决策结果

· 关于发布的决策结果 CERT/CC在某个时间点上往往必须决定何时或是否发布关于漏洞的信息,共有“发布”和“不发布”两种决策结果。

###3、各相关者可能的决策点

决策点是各相关者做出漏洞优先级决策结果的判断依据,每个决策点又有若干决策值。SSVC
V2.0中定义的提供者和部署者的决策点7项,协调者(以CERT/CC为例)关于协调的决策点7项、关于发布的决策点3项。 (1)提供者和部署者决策点 · 可利用性(Exploitation) 即主动利用漏洞的证据,适用于提供者和部署者。其决策值包括:

表4可利用性决策值

· 技术影响(Technical Impact) 即漏洞被利用后的技术影响力,适用于提供者和部署者。其决策值包括:

表5 技术影响的决策值


· 效用(Utility) 基于攻击者可以利用该漏洞的假设,对其所做的努力进行比较,从而估计攻击者的收益,适用于提供者和部署者,其决策值包括:

表6效用决策值


· 安全影响(Safety Impact)
即对受影响系统的安全(safety)危害,如身体健康、经济、社会、情感和心理健康等方面。其理念是相关者应知道供应链下游的直接消费者和自己软件的普遍用法,并应考虑对系统操作员和对他们所提供软件的用户的安全影响。其决策值包括:

表7 安全影响决策值


- 公共安全影响(Public Safety Impact) 提供者 必须对上面描述的广义安全影响有一个粗粒度的观点。其决策值包括:

表8 公共安全影响决策值


- 情景安全影响(Situated Safety Impact) 部署者
可能对广义安全影响有更细粒度的观点,将它与业务影响结合使用,以简化部署者的实现。 · 业务影响(Mission Impact)
即对组织业务基本功能(MEF)的影响,主要适用于部署者。其决策值包括:

表9 业务影响决策值


· 人员活动影响(Human Impact) 情景安全影响和业务影响的组合,适用于部署者。其决策值包括:

表10 情景安全影响决策值


· 系统暴露(System Exposure) 即受影响系统或服务的可访问攻击面,主要适用于部署者。其决策值包括:

表11系统暴露决策值


(2) 协调者CERT/CC决策点 · CERT/CC关于协调的决策点 包括前面的“效用”和“公共安全影响”,以及5个新决策点:

表12 关于协调的决策点


· CERT/CC关于发布的决策点 包括前面的“可利用性”及两个新决策点: - 增加的公共值(Public Value
Added)
询问来自协调者的发布对更广泛的社区有多大价值,其决策值基于漏洞现有公共信息的状态:

表13 增加的公共值的决策值


- 提供者投入(Supplier Involvement) 说明提供者处理漏洞的工作状态。其决策值包括:

表14提供者投入的决策值

###4、 各相关者的漏洞优先级决策树

给定一组有用的决策点和相应的特定相关者的决策结果,可将它们组合成关于要采取行动的优先级的综合决策集。这种决策集及相应推导过程可使用逻辑等多种形式表示,SSVC使用决策树表示此类信息(下列图中,矩形表示决策点、三角形表示决策结果)。 (1)
建议的提供者决策树
该提供者决策树考虑了“可利用性”、“效用”、“技术影响”和“公共安全影响”4个决策点,组合为36条决策路径,其中决策结果为“立即”的13项、“有计划的”8项、“不定期”的13项、“推迟”的2项。

图1 建议的提供者决策树


(2) 建议的部署者决策树
该部署者决策树考虑了“可利用性”、“系统暴露”、“效用”和“任务影响”4个决策点,组合为108条决策路径,其中决策结果为“立即”的5项、“有计划的”69项、“不定期”的23项、“推迟”的11项。

图2
建议的部署者决策树

(3) 建议的协调者关于协调的决策树
该决策树中包含CERT/CC关于协调的所有决策点,组合为52条决策路径,其中决策结果为“协调”的17项、“跟踪”的15项、“拒绝”的20项。

图3
建议的协调者关于协调的决策树

(4) 建议的协调者关于发布的决策树
该决策树包含CERT/CC关于发布的所有决策点,组合为27条决策路径,其中决策结果为“发布”的13项、“不发布”的14项。

图4 建议的协调者关于发布的决策树

##三、未来工作及总结

卡耐基梅隆大学软件工程研究所将在以下方面继续提升SSVC:(1)
通过研究社会学方法收集需求,采用长期、结构化的访谈等获取从业者和决策者想从漏洞评价中得到的价值等的经验性依据;(2)
协调者方面除考虑CSIRT外,也将关注PSIRT的需求;(3)
SSVC目前未考虑因实施缓解或修复措施而产生的变更风险,下一步将提供评估变更风险或漏洞风险相关成本的方法;(4)
进行更深入的决策树测试,在决策树可靠之前,需要对不同的分析人员进行更多测试;(5) 考虑SSVC的国际化和本地化问题。

作者认为,SSVC作为一种漏洞评估方法,其特点主要体现为三个“面向”: 面向供应链,面向决策结果,面向实践经验

面向供应链, 相关者的角色可根据他们在供应链中执行的任务来确定,并且“安全影响”等决策点中也明确指出,相关者应考虑在供应链中对下游用户的安全责任;

面向决策结果, SSVC关注各相关者漏洞处理优先级的决策结果,更多结合定性的判定而非定量的计算,考虑的因素也更加多元;

面向实践经验,
SSVC体系中的决策点、决策值等内容会根据试验测试的结果来增删调整,而非仅靠理论定义,并且后期还将引入系统的结构化访谈等方法获得经验性数据。

游用户的安全责任;

面向决策结果, SSVC关注各相关者漏洞处理优先级的决策结果,更多结合定性的判定而非定量的计算,考虑的因素也更加多元;

面向实践经验,
SSVC体系中的决策点、决策值等内容会根据试验测试的结果来增删调整,而非仅靠理论定义,并且后期还将引入系统的结构化访谈等方法获得经验性数据。

网络安全工程师企业级学习路线

这时候你当然需要一份系统性的学习路线

如图片过大被平台压缩导致看不清的话,可以在文末下载(无偿的),大家也可以一起学习交流一下。

一些我收集的网络安全自学入门书籍

一些我白嫖到的不错的视频教程:

上述资料【点下方卡片】就可以领取了,无偿分享

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/838073.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

C++ 动态内存分配

在C中动态内存的分配技术可以保证程序在允许过程中按照实际需要申请适量的内存,使用结束后还可以释放,这种在程序运行过程中申请和释放的存储单元也称为堆。 申请和释放过程一般称为建立和删除。 在C程序中,建立和删除堆对象使用两个运算符&…

html页面input设置日期和时分秒组件方法

html <input class"form-control" type"datetime-local" step"01">效果图

Java根据坐标经纬度计算两点距离(5种方法)、校验经纬度是否在圆/多边形区域内的算法推荐

目录 前言 一、根据坐标经纬度计算两点距离&#xff08;5种方法&#xff09; 1.方法一 2.方法二 3.方法三 4.方法四 5.方法五 5.1 POM引入第三方依赖 5.2 代码 6.测试结果对比 二、校验经纬度是否在制定区域内 1.判断一个坐标是否在圆形区域内 2.判断一个坐标是否…

安防监控国标GB28181平台EasyGBS视频快照无法显示是什么原因?如何解决?

安防视频监控国标视频云服务EasyGBS支持设备/平台通过国标GB28181协议注册接入&#xff0c;并能实现视频的实时监控直播、录像、检索与回看、语音对讲、云存储、告警、平台级联等功能。平台部署简单、可拓展性强&#xff0c;支持将接入的视频流进行全终端、全平台分发&#xff…

【Leetcode刷题】模拟

本篇文章为 LeetCode 模拟模块的刷题笔记&#xff0c;仅供参考。 目录 一. 字符串Leetcode43.字符串相乘Leetcode592.分数加减运算Leetcode68.文本左右对齐 二. 矩阵Leetcode54.螺旋矩阵Leetcode885.螺旋矩阵 IIILeetcode498.对角线遍历Leetcode874.模拟行走机器人 三. 数组Lee…

Aligning Large Language Models with Human: A Survey

本文也是LLM相关的综述文章&#xff0c;针对《Aligning Large Language Models with Human: A Survey》的翻译。 对齐人类与大语言模型&#xff1a;综述 摘要1 引言2 对齐数据收集2.1 来自人类的指令2.1.1 NLP基准2.1.2 人工构造指令 2.2 来自强大LLM的指令2.2.1 自指令2.2.2 …

JavaSE【抽象类和接口】(抽象类、接口、实现多个接口、接口的继承)

一、抽象类 在 Java 中&#xff0c;一个类如果被 abstract 修饰称为抽象类&#xff0c;抽象类中被 abstract 修饰的方法称为抽象方法&#xff0c;抽象方法不用 给出具体的实现体。 1.语法 // 抽象类&#xff1a;被 abstract 修饰的类 public abstract class Shape { …

AI.com的命运之战:马斯克如何从OpenAI手中夺走这个价值千万的域名

一、AI.COM AI.com是一个极具价值的域名&#xff0c;它于1993年5月注册&#xff0c;距今已有近30年的历史。2021年2月&#xff0c;人工智能研究机构OpenAI以至少1100万美元&#xff08;约合人民币7535万元&#xff09;的高价&#xff0c;拿下了这个域名。OpenAI是马斯克在2015…

微信小程序中的分包使用介绍

一、分包的好处 可以优化小程序首次启动的下载时间 在多团队共同开发时可以更好的解耦协作 主包&#xff1a;放置默认启动页面/TabBar 页面&#xff0c;公共资源/JS 脚本 分包&#xff1a;根据开发者的配置进行划分 限制&#xff1a;所有分包大小不超过 20M&#xff0c;单…

私有化部署企业IM即时通讯:提升效率、防止泄密、高效协同办公

随着科技的飞速发展和智能手机的普及&#xff0c;即时通讯&#xff08;IM&#xff09;应用在我们的生活和工作中变得越来越重要。在企业中&#xff0c;IM已成为员工之间交流沟通的主要方式之一。然而&#xff0c;对于大多数企业来说&#xff0c;选择私有化部署企业IM即时通讯软…

Pytorch Tutorial【Chapter 2. Autograd】

Pytorch Tutorial 文章目录 Pytorch TutorialChapter 2. Autograd1. Review Matrix Calculus1.1 Definition向量对向量求导1.2 Definition标量对向量求导1.3 Definition标量对矩阵求导 2.关于autograd的说明3. grad的计算3.1 Manual手动计算3.2 backward()自动计算 Reference C…

解决在mybatis中使用class属性绑定映射文件出现的异常问题~

如下所示&#xff0c;当我在XML文件中通过class属性配置其mapper文件时&#xff0c;出现下述错误 <mappers><mapper class"mappers.userMapper"/> </mappers>错误描述&#xff1a; 解决方法如下所示&#xff1a;在pom.xml文件中添加下述代码 <…

【腾讯云Cloud Studio实战训练营】使用React快速构建点餐H5

文章目录 前言一、Cloud Studio是什么二、Cloud Studio特点三、Cloud Studio使用1.访问官网2.账号注册3.模板选择4.模板初始化5.H5开发安装 antd-mobile安装 Less安装 normalize&#xff1a;上传项目需要的素材&#xff1a;替换App.js主文件&#xff1a;项目启动、展示 6.发布仓…

zookeeper安装教程及其基本使用

目录 zookeeper下载&#xff1a; zookeeper下载官网&#xff1a; 本地安装配置&#xff1a; 启动zookeeper&#xff1a; 开启服务端&#xff1a; 启动客户端&#xff1a; 查看zookeeper的状态&#xff1a; zoo.cfg文件解读&#xff1a; zookeeper的集群安装&#xff1a…

Go调试神器pprof使用教程【实战分享】

Go调试神器pprof使用教程 go的GC会自动管理内存&#xff0c;但是这不代表go程序就不会内存泄露了。 go常见产生内存泄露的原因就是goroutine没有结束&#xff0c;简单说就是goroutine 被阻塞了&#xff0c;这样就会导致goroutine引用的内存不被GC回收。 1 概念 在Go中&#xf…

二叉树的性质、前中后序遍历【详细】

1. 树概念2.二叉树的概念1.2二叉树的性质 3.二叉树遍历3.2前序遍历3.2 中序遍历3.3 后序遍历 1. 树概念 树是一种非线性的数据结构&#xff0c;它是由n&#xff08;n>0&#xff09;个有限结点组成一个具有层次关系的集合&#xff0c;有二叉树&#xff0c;N叉树等等。 子树…

[CKA]考试之一个 Pod 封装多个容器

由于最新的CKA考试改版&#xff0c;不允许存储书签&#xff0c;本博客致力怎么一步步从官网把答案找到&#xff0c;如何修改把题做对&#xff0c;下面开始我们的 CKA之旅 题目为&#xff1a; Task 创建一个Pod&#xff0c;名字为kucc1&#xff0c;这个Pod包含4容器&#xff…

Python:Spider爬虫工程化入门到进阶(1)创建Scrapy爬虫项目

Python&#xff1a;Spider爬虫工程化入门到进阶系列: Python&#xff1a;Spider爬虫工程化入门到进阶&#xff08;1&#xff09;创建Scrapy爬虫项目Python&#xff1a;Spider爬虫工程化入门到进阶&#xff08;2&#xff09;使用Spider Admin Pro管理scrapy爬虫项目 本文通过简…

眼科医生推荐的台灯 护眼台灯买什么好?

我家孩子需要一个护眼灯&#xff0c;就请教了我的一个医生朋友。大家都知道医生白天对着电脑长时间的工作&#xff0c;晚上还要看书&#xff0c;查文献&#xff0c;写论文&#xff0c;选一个对眼睛友好的高质量护眼台灯对他们是刚需&#xff0c;同时又是医生&#xff0c;所以他…