[[120664]]

對產品或應用的安全性做出科學的評判是一項很困難的事。相關機構一般的做法，只是會根據(jù)操作系統(tǒng)和熱門應用程序披露的漏洞個數(shù)，來衡量其安全性。

評定安全性的老辦法：只根據(jù)漏洞個數(shù)

通常來說，復雜的環(huán)境可能導致不同的結果。來自馬里蘭大學的研究人員，在本周于瑞典召開的《攻擊、滲透與防御研究》的專題討論會中，發(fā)表了這次的研究成果，他們希望引入一組新的、基于真實環(huán)境下收集的漏洞利用的數(shù)據(jù)指標。

他們在報告中寫道，《不一樣的漏洞：在真實環(huán)境下研究漏洞和攻擊》，其中提出了另一種概念。安全研究人員以前之所以過去把漏洞的個數(shù)當作評估系統(tǒng)和應用程序安全性的最好的方法，是因為大多數(shù)漏洞并沒有被實際利用過，攻擊條件也是一種不準確的指標，因為用戶經常往操作系統(tǒng)里安裝應用程序，或者更改里面的配置。

“現(xiàn)有的安全指標，如一個產品的漏洞數(shù)量，或是其理論上的攻擊條件，并沒有考慮到以上這些影響因素。”

團隊的研究人員–Kartik Nayak, Daniel Marino, Petros Efstathopoulos和Tudor Dumitras在他們的報告中陳述道。

細數(shù)新定指標

對此，研究人員提出了兩個新的評估指標：一個可以衡量漏洞是否得到利用，而另一個則可以衡量漏洞的利用頻率。

新定指標相關內容為：

1.從一批可靠的數(shù)據(jù)來源中，我們收集到了真實環(huán)境下實施利用的漏洞，其中的來源包括國家漏洞庫、供應商的IPS以及反病毒簽名庫。

2.漏洞利用率指的是在一定時段內利用的時候，產品漏洞被捕獲的那部分的利用率。(比如在產品某版本發(fā)布的頭幾個月內)

3.攻擊當量：計算某產品在特殊時間段被攻擊的頻繁程度。

4.攻擊條件：特定時間段內符合攻擊條件的區(qū)域，實質上這反映了主機上漏洞利用的數(shù)量。

真實環(huán)境下的研究

研究人員實驗中使用的一些數(shù)據(jù)來源，其中包括國家漏洞庫，以及來自六千三百多萬主機上的反病毒和入侵防護數(shù)據(jù)。他們檢查了每個版本的Windows，從Winxp到Win7，以及新版本的Adobe Reader,Office和IE瀏覽器，最后得出結論：這些程序已披露的漏洞，在單獨進行攻擊時的利用率在35%以下。但是當綜合利用各產品漏洞時，其比例下降到了15%，而隨著新版產品的發(fā)布，該比例還在下降。

舉個例子，ASLR和DEP的展示將Win7放到了Windows產品歷史中前所未有的高度。同樣的情形也在Adobe Reader的介紹沙盒時重演。

研究人員表示，踏出實驗室在真實環(huán)境里進行研究是非常有必要的。

準確率的提升

“因為漏洞計數(shù)和攻擊條件能預估出攻擊者成功的幾率。雖然這種方法不一定非常準確，但我們還是轉而專注于在該領域進行突破，”研究人員寫道。“結合現(xiàn)有的指標，加上進行安全漏洞和攻擊行為對真實環(huán)境的影響的考量，可以對網絡攻擊的風險做出更準確的評估。”

研究人員稱，新指標可以幫助系統(tǒng)或網絡管理員獲取一個更加準確的風險評估，若有漏洞可以提前獲得修補。

注：原文描述有些復雜，譯文中加入了一些改動和注釋，但大意不變，希望能讓讀者更方便理解。

[參考信息來源threatpost.com]