已有22年歷史的通用漏洞披露(CVE)系統(tǒng)存在巨大短板，無法有效解決數(shù)百萬應(yīng)用程序和后端服務(wù)的云服務(wù)中存在的危險缺陷。云提供商通過不共享在其平臺上發(fā)現(xiàn)的錯誤的詳細(xì)信息往往會讓客戶承受一定的風(fēng)險。

因此必須存在類似于CVE的云錯誤管理方法，以幫助客戶權(quán)衡暴露、影響和降低風(fēng)險。這是越來越多的安全公司在推動更好的云漏洞和風(fēng)險管理的觀點(diǎn)。他們爭辯說，由于按照CVE識別規(guī)則，僅有最終用戶和網(wǎng)絡(luò)管理員可以通過分配的CVE跟蹤號碼直接管理的漏洞，因此當(dāng)前模型需要被打破了。

CVE系統(tǒng)背后的非營利組織MITRE不為被視為云提供商負(fù)責(zé)的安全問題指定CVE ID。假設(shè)是，云提供商擁有這個問題，那么分配非客戶控制或由管理員修補(bǔ)的CVE不屬于CVE系統(tǒng)的權(quán)限范圍。

Summit Route的云安全研究員Scott Piper在最近的一篇博客中寫道：這是一個錯誤的假設(shè)，即所有問題都可以由云提供商解決，因此不需要跟蹤號碼。這種觀點(diǎn)有時是不正確的，因?yàn)榧词乖铺峁┥炭梢越鉀Q這個問題，相關(guān)人士仍然認(rèn)為它值得被記錄。

Piper的批評是他介紹數(shù)十個記錄在案的云服務(wù)提供商錯誤實(shí)例的精選列表的一部分，他通過如下的真實(shí)案例來進(jìn)行了驗(yàn)證。例如，在過去的一年里，亞馬遜網(wǎng)絡(luò)服務(wù)扼殺了一系列跨帳戶漏洞。此外，微軟最近修補(bǔ)了兩個討厭的Azure錯誤(ChaosDB和OMIGOD)。而且在去年，Alphabet的谷歌云平臺處理了一些錯誤，包括政策旁路缺陷。

云安全公司W(wǎng)iz的云研究人員Alon Schindel和Shir Tamari在一篇帖子中寫道：隨著技術(shù)人員不斷地發(fā)現(xiàn)新型漏洞，專家們發(fā)現(xiàn)了越來越多的問題不符合當(dāng)前[MITRE CVE報告]模型。因此安全行業(yè)呼吁采取行動：需要一個集中式的云漏洞數(shù)據(jù)庫。

研究人員承認(rèn)，云服務(wù)提供商確實(shí)能夠?qū)υ棋e誤夠做出快速反應(yīng)，并迅速解決問題。然而，識別、跟蹤和幫助受影響者評估風(fēng)險的過程依然需要簡化。例如：當(dāng)研究人員在8月份發(fā)現(xiàn)一系列跨帳戶AWS漏洞時，亞馬遜通過更改AWS(亞馬遜WEB服務(wù))默認(rèn)值和更新用戶設(shè)置指南迅速采取行動來解決該漏洞。接下來，AWS又及時向受影響的客戶發(fā)送了電子郵件，郵件中敦促他們更新任何易受攻擊的配置。

但是上述的做法也存在一定的問題，即許多用戶不知道脆弱的配置以及他們在面臨漏洞時應(yīng)該采取何種響應(yīng)行動。要么這封電子郵件從未發(fā)送給合適的人，要么迷失在其他問題的海洋中。Schindel和Tamari寫道。研究人員表示，在云方面，受影響的用戶應(yīng)該能夠輕松跟蹤漏洞，以及其組織中是否已經(jīng)解決，以及哪些云資源已經(jīng)范圍和修復(fù)。

云錯誤的CVE方法還得到了云安全聯(lián)盟(CSA)的支持，該聯(lián)盟將谷歌、微軟和甲骨文視為執(zhí)行成員。

Cloud Bug CVE方法：共享行業(yè)目標(biāo)

這些努力有許多相同的目標(biāo)，包括：

• 所有云服務(wù)提供商使用的標(biāo)準(zhǔn)化通知渠道。
• 標(biāo)準(zhǔn)化的錯誤或問題跟蹤。
• 力度評分，以幫助確定緩解工作的優(yōu)先級。
• 漏洞及其檢測的透明度。

8月，Brian Martin在他的博客Curmudgeonly Ways上指出，MITRE涵蓋云漏洞的歷史好壞參半。有時，一些CVE(編輯)委員會主張將CVE擴(kuò)展到云漏洞，而另一些則反對。至少有一名倡導(dǎo)CVE覆蓋的人表示，他們應(yīng)該獲得CVE ID，[與]其他支持和不同意這樣的想法，即如果云被覆蓋，[這些錯誤]應(yīng)該獲得自己的ID計(jì)劃。他寫道。

Martin還指出，即使創(chuàng)建了類似CVE的系統(tǒng)，問題仍然存在：誰來運(yùn)行它?他認(rèn)為：唯一比這樣一個項(xiàng)目沒有啟動更糟糕的是，它確實(shí)啟動，成為安全計(jì)劃的重要組成部分，然后因?yàn)楦鞣N原因無法進(jìn)行下去直到消失。

7月，在CSA的主持下，全球安全數(shù)據(jù)庫工作組被特許將擴(kuò)大CVE跟蹤的想法更進(jìn)一步。其目標(biāo)是提供CVE的替代方案，以及該小組提出的所謂一刀切的漏洞識別方法。工作組認(rèn)為，云遷移帶來的IT基礎(chǔ)設(shè)施的“按需”性質(zhì)和持續(xù)增長要求網(wǎng)絡(luò)安全的相應(yīng)成熟。

CSA聯(lián)合創(chuàng)始人兼首席執(zhí)行官Jim Reavis在介紹工作組時說：我們可以看到的是，我們需要弄清楚如何為軟件、服務(wù)和其他IT基礎(chǔ)設(shè)施中的漏洞創(chuàng)建與現(xiàn)有的技術(shù)數(shù)量成正比的標(biāo)識符。共同的設(shè)計(jì)目標(biāo)是使漏洞標(biāo)識符易于發(fā)現(xiàn)、快速分配、可更新和公開可用——不僅在云端，同時也在跨IT基礎(chǔ)設(shè)施中。

本文來源于：https://threatpost.com/cve-cloud-bug-system/179394/如若轉(zhuǎn)載，請注明原文地址。