已有22年歷史的通用漏洞披露(CVE)系統(tǒng)存在巨大短板，無(wú)法有效解決數(shù)百萬(wàn)應(yīng)用程序和后端服務(wù)的云服務(wù)中存在的危險(xiǎn)缺陷。云提供商通過(guò)不共享在其平臺(tái)上發(fā)現(xiàn)的錯(cuò)誤的詳細(xì)信息往往會(huì)讓客戶承受一定的風(fēng)險(xiǎn)。

因此必須存在類似于CVE的云錯(cuò)誤管理方法，以幫助客戶權(quán)衡暴露、影響和降低風(fēng)險(xiǎn)。這是越來(lái)越多的安全公司在推動(dòng)更好的云漏洞和風(fēng)險(xiǎn)管理的觀點(diǎn)。他們爭(zhēng)辯說(shuō)，由于按照CVE識(shí)別規(guī)則，僅有最終用戶和網(wǎng)絡(luò)管理員可以通過(guò)分配的CVE跟蹤號(hào)碼直接管理的漏洞，因此當(dāng)前模型需要被打破了。

CVE系統(tǒng)背后的非營(yíng)利組織MITRE不為被視為云提供商負(fù)責(zé)的安全問(wèn)題指定CVE ID。假設(shè)是，云提供商擁有這個(gè)問(wèn)題，那么分配非客戶控制或由管理員修補(bǔ)的CVE不屬于CVE系統(tǒng)的權(quán)限范圍。

Summit Route的云安全研究員Scott Piper在最近的一篇博客中寫(xiě)道：這是一個(gè)錯(cuò)誤的假設(shè)，即所有問(wèn)題都可以由云提供商解決，因此不需要跟蹤號(hào)碼。這種觀點(diǎn)有時(shí)是不正確的，因?yàn)榧词乖铺峁┥炭梢越鉀Q這個(gè)問(wèn)題，相關(guān)人士仍然認(rèn)為它值得被記錄。

Piper的批評(píng)是他介紹數(shù)十個(gè)記錄在案的云服務(wù)提供商錯(cuò)誤實(shí)例的精選列表的一部分，他通過(guò)如下的真實(shí)案例來(lái)進(jìn)行了驗(yàn)證。例如，在過(guò)去的一年里，亞馬遜網(wǎng)絡(luò)服務(wù)扼殺了一系列跨帳戶漏洞。此外，微軟最近修補(bǔ)了兩個(gè)討厭的Azure錯(cuò)誤(ChaosDB和OMIGOD)。而且在去年，Alphabet的谷歌云平臺(tái)處理了一些錯(cuò)誤，包括政策旁路缺陷。

云安全公司W(wǎng)iz的云研究人員Alon Schindel和Shir Tamari在一篇帖子中寫(xiě)道：隨著技術(shù)人員不斷地發(fā)現(xiàn)新型漏洞，專家們發(fā)現(xiàn)了越來(lái)越多的問(wèn)題不符合當(dāng)前[MITRE CVE報(bào)告]模型。因此安全行業(yè)呼吁采取行動(dòng)：需要一個(gè)集中式的云漏洞數(shù)據(jù)庫(kù)。

研究人員承認(rèn)，云服務(wù)提供商確實(shí)能夠?qū)υ棋e(cuò)誤夠做出快速反應(yīng)，并迅速解決問(wèn)題。然而，識(shí)別、跟蹤和幫助受影響者評(píng)估風(fēng)險(xiǎn)的過(guò)程依然需要簡(jiǎn)化。例如：當(dāng)研究人員在8月份發(fā)現(xiàn)一系列跨帳戶AWS漏洞時(shí)，亞馬遜通過(guò)更改AWS(亞馬遜WEB服務(wù))默認(rèn)值和更新用戶設(shè)置指南迅速采取行動(dòng)來(lái)解決該漏洞。接下來(lái)，AWS又及時(shí)向受影響的客戶發(fā)送了電子郵件，郵件中敦促他們更新任何易受攻擊的配置。

但是上述的做法也存在一定的問(wèn)題，即許多用戶不知道脆弱的配置以及他們?cè)诿媾R漏洞時(shí)應(yīng)該采取何種響應(yīng)行動(dòng)。要么這封電子郵件從未發(fā)送給合適的人，要么迷失在其他問(wèn)題的海洋中。Schindel和Tamari寫(xiě)道。研究人員表示，在云方面，受影響的用戶應(yīng)該能夠輕松跟蹤漏洞，以及其組織中是否已經(jīng)解決，以及哪些云資源已經(jīng)范圍和修復(fù)。

云錯(cuò)誤的CVE方法還得到了云安全聯(lián)盟(CSA)的支持，該聯(lián)盟將谷歌、微軟和甲骨文視為執(zhí)行成員。

Cloud Bug CVE方法：共享行業(yè)目標(biāo)

這些努力有許多相同的目標(biāo)，包括：

• 所有云服務(wù)提供商使用的標(biāo)準(zhǔn)化通知渠道。
• 標(biāo)準(zhǔn)化的錯(cuò)誤或問(wèn)題跟蹤。
• 力度評(píng)分，以幫助確定緩解工作的優(yōu)先級(jí)。
• 漏洞及其檢測(cè)的透明度。

8月，Brian Martin在他的博客Curmudgeonly Ways上指出，MITRE涵蓋云漏洞的歷史好壞參半。有時(shí)，一些CVE(編輯)委員會(huì)主張將CVE擴(kuò)展到云漏洞，而另一些則反對(duì)。至少有一名倡導(dǎo)CVE覆蓋的人表示，他們應(yīng)該獲得CVE ID，[與]其他支持和不同意這樣的想法，即如果云被覆蓋，[這些錯(cuò)誤]應(yīng)該獲得自己的ID計(jì)劃。他寫(xiě)道。

Martin還指出，即使創(chuàng)建了類似CVE的系統(tǒng)，問(wèn)題仍然存在：誰(shuí)來(lái)運(yùn)行它?他認(rèn)為：唯一比這樣一個(gè)項(xiàng)目沒(méi)有啟動(dòng)更糟糕的是，它確實(shí)啟動(dòng)，成為安全計(jì)劃的重要組成部分，然后因?yàn)楦鞣N原因無(wú)法進(jìn)行下去直到消失。

7月，在CSA的主持下，全球安全數(shù)據(jù)庫(kù)工作組被特許將擴(kuò)大CVE跟蹤的想法更進(jìn)一步。其目標(biāo)是提供CVE的替代方案，以及該小組提出的所謂一刀切的漏洞識(shí)別方法。工作組認(rèn)為，云遷移帶來(lái)的IT基礎(chǔ)設(shè)施的“按需”性質(zhì)和持續(xù)增長(zhǎng)要求網(wǎng)絡(luò)安全的相應(yīng)成熟。

CSA聯(lián)合創(chuàng)始人兼首席執(zhí)行官Jim Reavis在介紹工作組時(shí)說(shuō)：我們可以看到的是，我們需要弄清楚如何為軟件、服務(wù)和其他IT基礎(chǔ)設(shè)施中的漏洞創(chuàng)建與現(xiàn)有的技術(shù)數(shù)量成正比的標(biāo)識(shí)符。共同的設(shè)計(jì)目標(biāo)是使漏洞標(biāo)識(shí)符易于發(fā)現(xiàn)、快速分配、可更新和公開(kāi)可用——不僅在云端，同時(shí)也在跨IT基礎(chǔ)設(shè)施中。

本文來(lái)源于：https://threatpost.com/cve-cloud-bug-system/179394/如若轉(zhuǎn)載，請(qǐng)注明原文地址。