話說CWE 4.2的新視圖

話說CWE 4.2的新視圖

1. 按照慣例，先說故事

我們先說下CWE的幕后老板--MITRE[1]。 MITRE稱自己是一家“非贏利組織”，通過聯(lián)邦資助的研發(fā)中心(Federally Funded R&D Centers(FFRDC))運作。目標(biāo)是為更安全的世界解決問題(we solve problems for a safer world)。

1.1. MITRE的起源

MITRE的歷史可以追溯到美、蘇二戰(zhàn)后的冷戰(zhàn)時期。50年代后期，面對蘇聯(lián)核打擊的威脅，美國空軍呼吁麻省理工學(xué)院幫助其建立一個防空系統(tǒng)，以幫助其偵查即將來臨的轟炸機。該研究所提出了半自動地面環(huán)境（SAGE）系統(tǒng)結(jié)合了雷達(dá)，無線電和網(wǎng)絡(luò)通信來檢測敵機，對附近的空軍基地發(fā)出警報并不斷更新，這些基地的戰(zhàn)機會及時升空攔截即將來臨的威脅。SAGE也是美國的第一個現(xiàn)代化防空系統(tǒng)[6]。MITRE的前三個字母MIT就是麻省理工學(xué)院的縮寫。記得以前的一個法國電影《蛇》(1973)，講的就是這個歷史背景下的故事人員發(fā)現(xiàn)蘇聯(lián)制造戰(zhàn)略轟炸機剩余的材料，做成了衣架被用到民用航空上，人員就想方設(shè)法偷了來，交給實驗室分析，厲害的科學(xué)家們，通過材料的組成成分，推算出了由此材料制成的轟炸機滿載時的航程。有興趣的朋友可以翻出來看一看，那個年代非常經(jīng)典的諜戰(zhàn)片。

1.2. 著名的ATT&CK

對于MITRE這個名字，可能更多的人會先想到這些年比較火的MITRE的ATT&CK攻擊框架，這個引領(lǐng)全球網(wǎng)絡(luò)安全攻防潮流的安全技術(shù)戰(zhàn)術(shù)知識庫框架。10/27號MITER剛剛發(fā)布了ATT&CK的第8.1版本。說它是個戰(zhàn)術(shù)的知識框架，是因為ATT&CK將入侵期間可能發(fā)生的情況，細(xì)分成14個策略階段：偵察、資源開發(fā)、入侵初期、執(zhí)行、持久化、權(quán)限提升、防御逃避、憑證訪問、發(fā)現(xiàn)、橫向移動、收集、指揮和控制、滲透、影響。然后針對攻擊方在每個階段所使用的技術(shù)、工具加以總結(jié)、歸類成知識庫，從而有助于我們理解攻擊者具備的能力。 目前ATT&CK按領(lǐng)域分為：

企業(yè)(Enterprise)：傳統(tǒng)企業(yè)網(wǎng)絡(luò)和云環(huán)境；

移動(Mobile)：移動通信設(shè)備；

ICS：Idustrial Control System 工控系統(tǒng)

下圖為企業(yè)的ATT&CK：

1.3. 運營模式：臭鼬工廠(Skunk Work)

MITRE經(jīng)營著一些最隱秘、低調(diào)的科學(xué)技術(shù)實驗室，這些實驗室就像電影《007》中的M16實驗室。因為MITRE是非贏利組織，所以MITRE通過“聯(lián)邦資助的研發(fā)中心”（FFDRC）的方式，運營著7家“臭鼬工廠”(Skunk Work)級別的研發(fā)中心。也許大家對“臭鼬工廠”這個模式有些陌生，這里稍微解釋一下。1943年，為了與德國飛機制造公司Messerschmitt制造的飛機競爭，洛克希德公司成立了一個名為 Skunk Works（臭鼬工廠）的頂級秘密研究和生產(chǎn)基地，它明確的任務(wù)是在 180 天內(nèi)開發(fā)一架高速戰(zhàn)斗機。項目在決策上給予了很大的自主權(quán)，鼓勵無視標(biāo)準(zhǔn)程序。結(jié)果項目創(chuàng)紀(jì)錄的在143天里，開發(fā)并交付了洛克希德公司的 P-80 射擊機，這是美國陸軍航空兵的第一架噴氣式戰(zhàn)斗機。以及后面我們熟悉的U2，F(xiàn)22,F35都是由這類工作室研發(fā)出來的。后來臭鼬工廠就成為一種創(chuàng)新的模式被一直沿用至今，蘋果、Google等大公司都有類似的工作室。下圖是2014年洛克希德公司在臭鼬工廠70年的時候的一個宣傳圖。

1.4. 研發(fā)領(lǐng)域

MITRE的研發(fā)領(lǐng)域涵蓋先進(jìn)的航空系統(tǒng)、企業(yè)現(xiàn)代化技術(shù)、司法工程、醫(yī)療保健、國家網(wǎng)絡(luò)安全等。產(chǎn)品也從機載預(yù)警通訊系統(tǒng)(AWACS)、軍用衛(wèi)星通信系統(tǒng)；到FBI的社交媒體圖像指紋識別項目和與之關(guān)聯(lián)的人體解剖學(xué)和犯罪史數(shù)據(jù)庫；幫助美國國土安全部（DHS）開發(fā)的物聯(lián)網(wǎng)（包括智能手機、健身追查器、智能家居產(chǎn)品等）入侵與檢測系統(tǒng)；據(jù)說還正在研發(fā)一項通過體味變化測謊的技術(shù)......。 Mitre吸引了大批最頂尖的網(wǎng)絡(luò)安全人才和跨界科技專家、科學(xué)家，也營造了很多傳奇的故事。比如，前MITRE工程師Matt Edman(禿頭，胡須, 清脆的男中音)曾與聯(lián)邦調(diào)查局(FBI)合作，利用其黑客技巧幫助FBI摧毀了臭名昭著的地下網(wǎng)絡(luò)du品市場--“絲綢之路(Silk Road)”。

今年新冠疫情流行，美國的衛(wèi)生機構(gòu)向Mitre Corp.提出打造一種名為“Sara Alert”的監(jiān)控系統(tǒng)。通過Sara Alert系統(tǒng)，公共衛(wèi)生官員可以登記和監(jiān)控生病或有感染風(fēng)險的個人和家庭，被登記的人被要求每天通過短信、電子郵件、電話或網(wǎng)站輸入他們的癥狀。這將有助于衛(wèi)生保健機構(gòu)確定哪些人需要護(hù)理，哪些人需要隔離。美國疾病控制和預(yù)防中心現(xiàn)在正依靠Sara Alert來挽救該國的新冠肺炎疫情監(jiān)測工作。感覺有些像我們的“健康碼”。

2. CWE的簡介

2.1. CWE的誕生

回到今天的主題上來，從1999年MITRE開始發(fā)布CVE(Common Vulnerabilities and Exposures)[2]缺陷列表。作為CVE的一部分，MITRE的CVE團(tuán)隊對漏洞、攻擊、故障和其他概念進(jìn)行了初步分類，以幫助定義常見的軟件漏洞。但是這些分類過于粗糙，無法用于代碼安全評估行業(yè)產(chǎn)品中提出的缺陷的識別和分類的需求。為此，MITRE參與美國國土安全部（DHS）贊助的美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）的軟件保障度量和工具評估（SAMATE）項目中，于2005年首次修改了內(nèi)部CVE類別工作，以用于代碼評估行業(yè)。于是便產(chǎn)生了CWE(Common Weakness Enumeration)[3]。CWE被用于以下目的：

用通用語言描述和討論軟件和硬件的弱點；

檢查現(xiàn)有軟件和硬件產(chǎn)品中的弱點；

評估針對這些弱點的工具的覆蓋范圍；

利用常見的基準(zhǔn)標(biāo)準(zhǔn)來識別，緩解和預(yù)防漏洞；

在部署之前防止軟件和硬件漏洞；

于是CWE做為軟件缺陷分類的重要標(biāo)準(zhǔn), 對安全研究、安全標(biāo)準(zhǔn)、缺陷管理起了重要的紐帶作用。CWE使代碼缺陷不同領(lǐng)域的研究人員在交流安全問題時，能夠采用相同的定義，減少了歧義性。

2.2. CWE編號類型

目前CWE對軟件和硬件的缺陷進(jìn)行了分類和描述, 每一個分類擁有唯一的一個CWE編號, 并按照CWE編號的類型（類缺陷、基礎(chǔ)缺陷和變種缺陷等）形成了多層次的缺陷類型劃分體系。

3. CWE 4.2的新視圖

近些年隨著軟件安全問題越來越成為軟件應(yīng)用系統(tǒng)風(fēng)險防控的重要因素，CWE的更新速度也明顯加快。

特別是今年2/24發(fā)布4.0，首次將硬件安全漏洞納入了CWE中，6/25發(fā)布4.1， 8/20就發(fā)布了4.2。

CWE-1350: Weaknesses in the 2020 CWE Top 25 Most Dangerous Software Weaknesses

CWE-1305: CISQ Quality Measures (2020)

3.1. CWE-1350: CWE/SANS Top 25

這個視圖是CWE按照NIST(National Institute of Standards and Technology)管理的缺陷庫NVD(National Vulnerability Database)[3]中的缺陷CVE(Common Vulnerabilities and Exposures), 并依照CVSS[4]評分體系(Common Vulnerability Scoring System)給出的出危害性(severity)和缺陷的出現(xiàn)頻率(prevalence), 按公式計算后的得分給出的排名。 從這里可以看到數(shù)據(jù)的可靠性, 能夠反映2020年發(fā)現(xiàn)的主要的安全缺陷，對工具、測試和安全研究有著重要的指導(dǎo)作用。

CWE和SANS學(xué)院一起，從2009，2010，2011 一共發(fā)布了三次 TOP 25[5]。但后來不知道因何原因，直到2019才又再次發(fā)布了TOP 25, 這是繼CWE 2019 TOP 25后的又一次更新。CWE 2020 TOP 25統(tǒng)計了從2018到2019大約27,000 CVE漏洞。我們來看以下2020和2019年Top 25發(fā)生的變化。

3.1.1. CWE 2020 TOP 25 vs CWE 2019 TOP 25

上升較快的有:

CWE-787 (Out-of-bounds Write): from #12 to #2;

CWE-522 (Insufficiently Protected Credentials): from #27 to #18

CWE-306 (Missing Authentication for Critical Function): from #36 to #24

CWE-862 (Missing Authorization): from #34 to #25

CWE-863 (Incorrect Authorization): from #33 to #29

從這里可以看出,除了787是緩沖區(qū)問題之外，另外上升較快的都是權(quán)限控制相關(guān)的問題.

下降較快的有:

CWE-426 (Untrusted Search Path): from #22 to #26

CWE-295 (Improper Certificate Validation): from #25 to #28

CWE-835 (Loop with Unreachable Exit Condition): from #26 to #36

CWE-704 (Incorrect Type Conversion or Cast): from #28 to #37

3.1.2. CWE 2020 TOP 25 變動表

3.1.3. 排名算法

由于排名得分的算法，考慮到了出現(xiàn)頻率(prevalence)和危害(severity)兩個參數(shù), 確保出現(xiàn)頻率低, 危害小的缺陷, 不容易出現(xiàn)在排行榜中, 而是讓頻率高, 危害高的缺陷出現(xiàn)在排行榜中。這個算法只能從統(tǒng)計學(xué)的角度消減數(shù)據(jù)偏差，但對于對缺陷歸屬哪一個CWE的理解問題的偏差，仍然會對造成在CVE的缺陷分類映射到CWE時據(jù)造成一定的誤差。這些在CWE分類層次上一直存在的問題，只能希望在后期的CWE版本逐步得到解決。

計算公式:

Freq = {count(CWE_X’ ∈ NVD) for each CWE_X’ in NVD}

Fr(CWE_X) = (count(CWE_X ∈ NVD) - min(Freq)) / (max(Freq) - min(Freq))

Sv(CWE_X) = (average_CVSS_for_CWE_X - min(CVSS)) / (max(CVSS) - min(CVSS))

Score(CWE_X) = Fr(CWE_X) * Sv(CWE_X) * 100

3.2. CWE-1305: CISQ Quality Measures (2020)

3.2.1. CISQ 背景

CISQ是信息和軟件質(zhì)量聯(lián)盟(Consortium for Information & Software Quality(CISQ))基于自動化質(zhì)量特征度量標(biāo)準(zhǔn)來衡量軟件質(zhì)量。這個質(zhì)量標(biāo)準(zhǔn)源于自對象管理組織(Object Management Group (OMG))[7]。對象管理組（OMG）是一個國際性，開放成員，非營利性技術(shù)標(biāo)準(zhǔn)聯(lián)盟。OMG標(biāo)準(zhǔn)由供應(yīng)商，用戶，學(xué)術(shù)機構(gòu)推動。 OMG工作組針對各種技術(shù)和更廣泛的行業(yè)制定企業(yè)集成標(biāo)準(zhǔn)。 我們熟悉的 Unified Modeling Language (UML) 和 Model Driven Architecture (MDA)就是這個組織制定的。

CISQ

CISQ由卡耐基梅隆大學(xué)的工程學(xué)院(Software Engineering Institute (SEI) at Carnegie Mellon University)和對象管理組織(OMG)于2010年共同創(chuàng)立。 這兩個組織都受到系統(tǒng)集成商的邀請，并被要求制定衡量軟件可靠性和安全性軟件屬性的標(biāo)準(zhǔn)。 建立全球標(biāo)準(zhǔn)是為了對供應(yīng)商的IT應(yīng)用程序在基準(zhǔn)測試應(yīng)用程序中進(jìn)行比較的重要步驟。

創(chuàng)始人與贊助商

https://www.omg.org/

https://www.castsoftware.com/

https://www.cgi.com/en

https://www.cognizant.com/

https://ishpi.net/

http://www.northropgrumman.com/Pages/default.aspx

https://www.synopsys.com/

https://www.techmahindra.com/CWCE.html

https://www.it-cisq.org/index.htm#

誰在使用

有超過1500個軟件組織加入了CISQ的會員, CISQ也被許多頂級的系統(tǒng)集成或軟件開發(fā)商使用, 例如: Cognizant, CGI, Tech Mahindra, GSA, BNY Mellon, U.S. Air Force, Generali, BMW。

ISO/IEC正在啟動將CISQ并入ISO/IEC DIS 5055 Information technology — Software measurement — Software quality measurement — Automated source code quality measures?標(biāo)準(zhǔn)中。 估計這個標(biāo)準(zhǔn)在明年就會正式發(fā)布。

3.2.2. CISQ如何評估軟件質(zhì)量

CISQ匯集了世界知名軟件專家, 定義了一套最佳實踐, 以確保軟件的: 可靠性, 性能效率, 安全性 和可維護(hù)性;

對評估的四個維度, CISQ整理了CWE中800多個已知的軟件弱點, CISQ確定了最關(guān)鍵和影響最大的CWE，并針對每個質(zhì)量特征對它們進(jìn)行了標(biāo)準(zhǔn)化以實現(xiàn)自動化;

在每個質(zhì)量度量的角度, 都可以通過靜態(tài)分析的方法, 通過代碼層面和架構(gòu)層面進(jìn)行自動化評估;

CISQ 四個特性的概覽

3.2.3. CISQ 2020 vs CISQ 2016

CWE在2019年3月份的3.2版本引入了CISQ的2016年發(fā)布的草案0.9版本。這次發(fā)布的是CISQ今年1月份發(fā)布的1.0正式版。

4. 小結(jié)

從2020 TOP 25來看, 2019,2020 緩沖區(qū)溢出, 輸入校驗引起的問題(注入, CSRF) 仍然是軟件安全和工具需要面對的主要問題; 同時權(quán)限設(shè)置引入的問題, 在呈上升的趨勢;

CISQ 通過靜態(tài)分析來實現(xiàn)軟件質(zhì)量的自動度量, 并采用對CWE的問題檢測, 細(xì)化了衡量的標(biāo)準(zhǔn)。這為通過工具對應(yīng)用軟件質(zhì)量的自動化度量提供了一個思路, 也為建立一個統(tǒng)一的標(biāo)準(zhǔn)下的軟件質(zhì)量的測評提供了重要依據(jù)。

5. 參考

[1] MITRE:?https://www.mitre.org/

[2] CVE:?http://cve.mitre.org/cve/

[3] CWE:?https://cwe.mitre.org/

[4] NVD:?https://nvd.nist.gov/

[5] CVSS:?https://nvd.nist.gov/vuln-metrics/cvss

[6]?Inside americas secretive 2billion research hub collecting fingerprints from facebook hacking smartwatches and fighting covid-19

[7] OMG:?https://www.omg.org/about/index.htm

[8]?List of Weaknesses Included in the CISQ Automated Source Code Quality Measures June 2019

通用安全

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。