批評者認為,MITRE管理的通用漏洞與暴露(CVE)項目,已遠不能實現其分類并識別所有已知漏洞的使命。CVE擁護者稱,新模型正彌補該差距。
CVE無疑是個偉大的概念:公開發布軟件或固件中所有已知漏洞的“字典”,供公司企業查詢自身面臨風險。然而,在非營利研發組織MITRE發起該項目18年后,關于其效果,有了很多爭議。
在各處公布的所有漏洞中,商業數據庫目前跟蹤到了約80%,CVE在60%到80%之間。于是做風險決策的時候,盲區有50%左右。這是很嚴重的缺失,而且由于組成物聯網的設備和隨之而來的漏洞持續爆炸式增長,情況只會越來越糟。
CVE的識別與分類已落后太多太多。
——約書亞·科曼 大西洋理事會網絡國策倡議理事
在去年9月的一篇文章中,CSO在線高級撰稿人史蒂夫·雷根表示:“CVE系統遭遇了瓶頸和覆蓋面空白,數千漏洞未分配CVE編號。這些空白將企業領導人和安全團隊暴露給諸多漏洞,讓他們依賴CVE編號才能起效和評估風險的安全產品甚至不知道這些漏洞的存在。”
糟糕的是,CVE董事會的幾位成員——包括來自網絡安全社區不同部分的25人,同樣持批評態度。
目前有52,913個漏洞沒有CVE編號,缺失的數量占被分類總數158,413的33%。然而,該百分比的改善,卻是以準確性和質量為代價的。因為缺乏關鍵細節,同時未包含有所幫助的參考資料,有些CVE描述對消費者基本沒用。因此,想要從CVE編號中獲益,消費者不得不做更多的工作,試圖理解該問題。MITRE在其分配和抽象規則上也經常反復。有些時候給一組問題分配了太多ID,有些時候連年份編號都搞錯了。
CVE的滯后甚至驚動了美國國會。眾議院能源和商業委員會主席,及其下屬委員會3名委員,在3月30號給負責管理CVE的MITRE致函。為MITRE提供資金的國土安全部(DHS)建議,MITRE應預測漏洞發展態勢,并詢問了MITRE對CVE滯后問題的打算。
發給MITRE的信函中稱:“與CVE項目短板相關的聯網設備和服務的爆炸式發展,雖然很快,卻并非一夕之功。有鑒于此,我們希望了解MITRE和CVE項目在預測和應對該發展上失敗的原因,以及為確保該項目更有效服務其基本使命,還有什么可以做的。”
盡管想要了解詳情,但目前委員會明顯不想公眾得知內情——雖然該項目也是納稅人的錢支持的。去函要求在4月13日前回復,但委員會至今未透露任何與MITRE或DHS聯系的進一步信息。委員會發言人丹·施耐德稱MITRE已回復,但他拒絕討論任何與該項目相關問題。
DHS公共事務辦公室的露西·馬丁內茲稱:“我們不對國會通信聯系做任何評論,將直接答復國會議員。”她甚至未回應查看MITRE回復的簡單要求。另外,無論MITRE還是DHS,都拒絕說出該項目每年經費開銷數額。雷根報出的數字,只是2006年的120萬美元。
關于數千漏洞沒有CVE編號的投訴,MITRE發言人珍妮弗·朗稱:“CVE項目只對MITRE感知到,且符合漏洞定義的100%漏洞分配編號。網絡生態系統中確實有未知數量的漏洞可以分配編號。問題在于,因為這些漏洞沒有報給CVE項目,我們無法量化其比例。統計漏洞的方法不唯一,也沒有全球公認的方式,不同組織對漏洞的定義和統計是不一樣的。”
這讓馬丁十分困擾:“鑒于CVE項目的本質,我真心認為MITRE的響應應該公開。他們所謂的CVE‘利益相關者’,或者我認為的‘消費者’,應了解MITRE準備怎么解決這些問題。”
然而,該項目擁護者稱,情況正在變好,過去15個月以來一直在改善。他們將這一改善歸功于所謂的“聯合系統”——招募了62家CNA(CVE編號機構)之類的組織來發現新漏洞并分配ID編號。
肯特·蘭德菲爾德,邁克菲首席標準與技術策略師,CVE董事會創始會員,承認MITRE不堪漏洞“爆炸”重負。他說,問題在2016年1月浮出水面,社區、董事會和MITRE出現了分歧。此后,事情就向著正確的方向發展了。雖然過去MITRE大權在握,不愿引入新的CNA,他們如今開始了聯合模式。某種程度上這還只是個實驗,但確實從2016年3月開始了。
目的就在于,將CVE編號負擔分擔給負責不同門類CVE的“根”CNA。
其中一個例子,是分布式弱點歸檔(DWF)項目——負責查找并識別開源軟件中漏洞的項目。其他CNA——微軟、評估和谷歌之類的大公司,識別并分類在其產品中找到的漏洞。
蘭德菲爾德稱,底線是“我們設置一個能擴展的機制——得是可持續的。而這也正是當前正在發生的。”
庫爾特·謝福瑞德,DWF項目總監,紅帽產品安全高級軟件工程師,CVE董事,對此表示認同。彌補CVE空白的方法很簡單:加入更多CNA拓展CVE。
這意味著要建立一個類似DNS(域名系統)的監管模型——MITRE是根,DWF是所有開源產品的次根,微軟是所有微軟產品的次根,諸如此類,每個國家/行業垂直分類都有各自的CNA層級分管。該操作模型更加點對點,CNA按需聯系彼此。
謝福瑞德指出,自聯合模型啟動,“我們就倍增了CNA數量,2016年便分配了1萬多個CVE編號。我們還在自動化和其他自服務風格方面做出了努力,以持續推進該過程來滿足需求。”
朗補充稱,“聯合”模式開啟時,CNA數量僅為22,自那之后,增加了40個,且新CNA候選人持續進入視野。
于是,這是否意味著,盡管問題仍在,但情況正朝著逐漸解決的方向走呢?阿爾特·曼寧,卡耐基梅隆大學軟件工程學院CERT部門漏洞分析技術經理,另一CVE董事,對此持謹慎樂觀態度。謹慎,因為他認為馬丁的部分批評是對的——雖然差距大小仍有爭辯可能,但無論以何種標準衡量都“十分巨大”了,而且,當前模式下確實不可能跟上IoT帶來的漏洞大爆發。
每年分配1萬到1.4萬個漏洞編號根本是低了一個數量級。該問題已經超出了人力范疇,只有用自動化來解決。但因為曼寧本人就是致力于將自動化引入編號分配過程的CVE董事會工作組成員之一,他對CVE也持有樂觀態度,“有跡象表明聯合系統在起作用,雖然現在下結論還為時過早。”
馬丁認為,長期的成功還取決于做好基礎工作。“MITRE用了太多納銳人的錢在行政管理位置上,而不是將資金更多地投入到直接支持該數據庫的人身上。”
京公網安備 11010502049343號