[[120664]]

對產(chǎn)品或應(yīng)用的安全性做出科學(xué)的評判是一項很困難的事。相關(guān)機(jī)構(gòu)一般的做法，只是會根據(jù)操作系統(tǒng)和熱門應(yīng)用程序披露的漏洞個數(shù)，來衡量其安全性。

評定安全性的老辦法：只根據(jù)漏洞個數(shù)

通常來說，復(fù)雜的環(huán)境可能導(dǎo)致不同的結(jié)果。來自馬里蘭大學(xué)的研究人員，在本周于瑞典召開的《攻擊、滲透與防御研究》的專題討論會中，發(fā)表了這次的研究成果，他們希望引入一組新的、基于真實環(huán)境下收集的漏洞利用的數(shù)據(jù)指標(biāo)。

他們在報告中寫道，《不一樣的漏洞：在真實環(huán)境下研究漏洞和攻擊》，其中提出了另一種概念。安全研究人員以前之所以過去把漏洞的個數(shù)當(dāng)作評估系統(tǒng)和應(yīng)用程序安全性的最好的方法，是因為大多數(shù)漏洞并沒有被實際利用過，攻擊條件也是一種不準(zhǔn)確的指標(biāo)，因為用戶經(jīng)常往操作系統(tǒng)里安裝應(yīng)用程序，或者更改里面的配置。

“現(xiàn)有的安全指標(biāo)，如一個產(chǎn)品的漏洞數(shù)量，或是其理論上的攻擊條件，并沒有考慮到以上這些影響因素。”

團(tuán)隊的研究人員–Kartik Nayak, Daniel Marino, Petros Efstathopoulos和Tudor Dumitras在他們的報告中陳述道。

細(xì)數(shù)新定指標(biāo)

對此，研究人員提出了兩個新的評估指標(biāo)：一個可以衡量漏洞是否得到利用，而另一個則可以衡量漏洞的利用頻率。

新定指標(biāo)相關(guān)內(nèi)容為：

1.從一批可靠的數(shù)據(jù)來源中，我們收集到了真實環(huán)境下實施利用的漏洞，其中的來源包括國家漏洞庫、供應(yīng)商的IPS以及反病毒簽名庫。

2.漏洞利用率指的是在一定時段內(nèi)利用的時候，產(chǎn)品漏洞被捕獲的那部分的利用率。(比如在產(chǎn)品某版本發(fā)布的頭幾個月內(nèi))

3.攻擊當(dāng)量：計算某產(chǎn)品在特殊時間段被攻擊的頻繁程度。

4.攻擊條件：特定時間段內(nèi)符合攻擊條件的區(qū)域，實質(zhì)上這反映了主機(jī)上漏洞利用的數(shù)量。

真實環(huán)境下的研究

研究人員實驗中使用的一些數(shù)據(jù)來源，其中包括國家漏洞庫，以及來自六千三百多萬主機(jī)上的反病毒和入侵防護(hù)數(shù)據(jù)。他們檢查了每個版本的Windows，從Winxp到Win7，以及新版本的Adobe Reader,Office和IE瀏覽器，最后得出結(jié)論：這些程序已披露的漏洞，在單獨進(jìn)行攻擊時的利用率在35%以下。但是當(dāng)綜合利用各產(chǎn)品漏洞時，其比例下降到了15%，而隨著新版產(chǎn)品的發(fā)布，該比例還在下降。

舉個例子，ASLR和DEP的展示將Win7放到了Windows產(chǎn)品歷史中前所未有的高度。同樣的情形也在Adobe Reader的介紹沙盒時重演。

研究人員表示，踏出實驗室在真實環(huán)境里進(jìn)行研究是非常有必要的。

準(zhǔn)確率的提升

“因為漏洞計數(shù)和攻擊條件能預(yù)估出攻擊者成功的幾率。雖然這種方法不一定非常準(zhǔn)確，但我們還是轉(zhuǎn)而專注于在該領(lǐng)域進(jìn)行突破，”研究人員寫道。“結(jié)合現(xiàn)有的指標(biāo)，加上進(jìn)行安全漏洞和攻擊行為對真實環(huán)境的影響的考量，可以對網(wǎng)絡(luò)攻擊的風(fēng)險做出更準(zhǔn)確的評估。”

研究人員稱，新指標(biāo)可以幫助系統(tǒng)或網(wǎng)絡(luò)管理員獲取一個更加準(zhǔn)確的風(fēng)險評估，若有漏洞可以提前獲得修補。

注：原文描述有些復(fù)雜，譯文中加入了一些改動和注釋，但大意不變，希望能讓讀者更方便理解。

[參考信息來源threatpost.com]