3.11 CISA的观点

随着关于漏洞优先级排序和管理的讨论日益激烈，像CISA这样的组织也对此发表了看法。2022年11月发表的一篇题为《Transforming the Vulnerability Management Landscape》的文章（www.cisa.gov/blog/2022/11/10/transforming-vulnerability-management-landscape）中，CISA执行助理主任Eric Goldstein讨论了现代数字环境的复杂性和漏洞加速出现的速度。

根据文章，CISA提出了推动漏洞管理生态系统进步的三个关键步骤：

1. 扩大通用安全咨询框架（CSAF）的使用，提供自动化的机器可读安全咨询

2. 增强漏洞利用交换（VEX）的采用，帮助软件消费者了解特定产品何时受可利用漏洞的影响

3. 通过使用利益相关者特定漏洞分类（SSVC）和CISA的已知利用漏洞（KEV），帮助组织优先安排漏洞管理资源

我们将在本节中更详细地讨论这些步骤。

通用安全咨询框架（CSAF）

CISA列表中的首项是使用CSAF来自动化生成机器可读的安全咨询。正如CISA指出的，每当发现并披露一个新漏洞时，软件供应商必须评估其产品并验证是否适用，如果适用，决定如何修复并将此信息传达给其客户群体。在供应商进行这些工作的同时，恶意行为者也在积极寻找机会利用漏洞，可能在供应商能够直接修复（例如SaaS环境）或发布补丁并由终端用户应用之前（例如传统的本地软件）。随着漏洞发现和披露速度的加快，尤其是与CVE相关的漏洞，迫切需要自动化和加速这一活动，以便将信息迅速传达给软件消费者，这正是机器可读性和自动化的作用所在。

CSAF由OASIS通用安全咨询框架（CSAF）技术委员会领导。OASIS是一个非营利联盟，帮助创建和推广各种最佳实践和标准。OASIS提供了一些优秀的资源供那些想要了解CSAF的人使用，包括他们的“什么是通用安全咨询框架（CSAF）？”视频（www.youtube.com/watch?app=desktop&v=vQ_xY3lmZOc）或非常全面的CSAF 2.0规范（https://docs.oasis-open.org/csaf/csaf/v2.0/csaf-v2.0.html）。

根据规范的定义，“CSAF支持创建、更新和互操作交换安全咨询，作为产品、漏洞及其影响和缓解状态的结构化信息。”这些咨询以JSON格式提供。

传统上，安全咨询以静态文档形式发布，如PDF文件和网站，供人类阅读。其挑战在于漏洞发现和披露速度加快，以及在恶意行为者利用漏洞之前进行修复的竞赛，使得机器和自动化的需求变得至关重要。这种情况与其他网络安全领域有许多相似之处，这些领域也越来越多地采用机器可读的工件，例如使用开放安全控制评估语言（OSCAL）的治理风险与合规（GRC）工具和基础设施即代码及合规即代码的传统IT。现代技术环境变化太快，人类无法作为中介来应对。

CSAF还致力于提供一套强大的工具（https://oasis-open.github.io/csaf-documentation），如CSAF解析器、可视化工具、可信提供者和聚合器等。值得注意的是，截至本文写作时，这些工具仍在开发中，可能缺乏某些功能，例如CSAF解析器尚不支持CSAF 2.0。这些工具每个都配有GitHub存储库、文档和代码库，以帮助组织和采用者更好地利用CSAF并将其作为其网络安全和漏洞管理活动的一部分，无论是作为软件消费者还是生产者。

CSAF架构文档主要涉及三类信息：

■文档的框架、聚合和参考信息

■CSAF咨询创建者认为相关的产品信息

■与所讨论产品相关的漏洞信息

CSAF还原生支持引用用于平台数据、漏洞分类和评分等行业标准化内容的架构。例如CPE、CVSS和CWE，每个都有一个用于使用的架构。

通过这一基本概述，很容易看出CSAF如何帮助引入一个机器可读安全咨询的时代，这些咨询可以自动化并有助于加速创建、分发和接收安全咨询，从而惠及软件提供商和消费者，并在软件生态系统中做出关于网络安全风险的快速决策。如需了解更多信息，可以查看详尽的规范本身或观看一些可供参考的CSAF视频（https://oasis-open.github.io/csaf-documentation）。

漏洞可利用性交换

在关于CSAF的讨论基础上，CISA的第二个关键步骤是广泛采用VEX。我们将在第4章“软件物料清单的崛起”中讨论VEX，因此这里只作简要介绍。在高层次上，VEX允许软件供应商断言特定漏洞是否影响某个产品以及是否不影响某个产品。实际上，组织面临网络安全人才短缺的问题，VEX允许组织优先将时间和资源花在对其构成风险的漏洞上，而不是那些可能无法利用且不构成风险的漏洞上。VEX文档作为SBOM的密切伙伴，提供关于SBOM中包含的漏洞的可利用性的信息，这些文档可以与SBOM一起或独立于SBOM生成。由于漏洞不断被发现和披露，即使没有新的软件发布，也可能会出现新的漏洞，因此在某些情况下，VEX的节奏可能与SBOM不同。

行业在SBOM和VEX领域的规范和工具方面不断创新。例如，在2023年初，软件供应链领导者Chainguard宣布，通过与HPE和TestifySec等其他公司的合作，他们创建了OpenVEX规范。OpenVEX旨在保持简洁、合规、可互操作和可嵌入。更多信息可以在OpenVEX的GitHub存储库中找到（https://github.com/openvex/spec）。

特定利益相关者漏洞分类和已知被利用的漏洞

行业内的一个持续需求是帮助组织优先处理构成最大风险的漏洞。

CISA（网络安全和基础设施安全局）已策划并发布了一个已知被利用的漏洞（KEV）目录，并通过一项强制性操作指令（BOD） (www.cisa.gov/binding-operational-directive-22-01)要求联邦机构修复这些KEV。CISA建议，如果商业组织受到这些KEV的影响，也应采取同样的措施。该目录以网页形式发布，同时也提供CSV或JSON文件格式。组织和个人还可以订阅KEV目录更新公告，通过电子邮件通知新KEV的添加。

一个漏洞要进入KEV目录的标准包括以下几点：

■它必须有一个CVE ID分配。
■根据可靠证据，该漏洞正在在野利用。
■对于该漏洞有明确的补救指导，例如供应商提供的补丁或更新。

正如我们之前讨论的，CVE计划由CISA赞助，但由MITRE运行，MITRE是一个联邦资助的研究与开发中心（FFRDC）。CVE计划的目的是识别、定义和编目公开披露的漏洞。CVE ID由CVE编号机构分配，并有三种可能的状态：保留、发布或拒绝。

CISA 的 KEV 目录并不使用漏洞可利用性本身作为纳入目录的标准。相反，必须有可靠证据表明该漏洞已被尝试利用或成功利用。例如，可能有证据表明恶意行为者尝试在目标上执行代码但未成功，或者仅在蜜罐系统上执行。与尝试利用不同，成功利用意味着恶意行为者成功利用目标系统上的漏洞代码，从而能够在系统或网络上执行某种未经授权的操作。CISA 谨慎地指出，PoC漏洞利用不会被纳入 KEV 目录，因为尽管研究人员可能展示了某些漏洞可能被利用，但没有证据表明它在实际环境中已被利用或尝试利用。

纳入 KEV 目录的第三个标准是明确的修复指导。这意味着组织可以采取明确的行动来减轻 KEV 的风险。这些行动可能包括应用供应商更新，或者在潜在的严重情况下，如果没有可用的更新或产品已到达生命周期终点且不再更新或支持，则完全从网络中移除受影响的产品。CISA 还承认，在缺乏相关更新和补丁的情况下，组织通常会寻求实施缓解措施（防止漏洞被利用）或变通方法，这些是手动更改，用于在补丁可用之前保护易受攻击的系统免受利用。

在使用 KEV 的指导基础上，CISA 正致力于通过特定利益相关者漏洞分类（SSVC）帮助组织优先分配漏洞管理资源。SSVC 是通过 CISA 与卡内基梅隆大学的软件工程研究所（SEI）合作创建的。SEI 对单独使用 CVSS 等资源的批评并不陌生，2018 年发布了一篇具有一定批判性的白皮书《Towards Improving CVSS》，指出广泛使用的 CVSS 在漏洞优先级管理中的若干缺陷（https://resources.sei.cmu.edu/library/asset-view.cfm?assetid=538368）。值得一提的是，尽管倡导使用诸如 SSVC 这样的框架，像 CISA 这样的联邦组织仍然强制使用 CVSS，尽管他们积极与诸如 SEI 这样的组织合作，这些组织已指出 CVSS 的缺点和不足(www.blog.deploy-securely.com/p/revealing-the-governments-approach)。

如 CISA 的 SSVC 指南所述，SSVC 是一种定制的决策树模型，旨在协助美国政府及相关实体优先处理漏洞响应，但其他组织也可以使用。SSVC 包括四种可能的决策，如图 3.7 所示。

该指南建议组织了解漏洞的范围，因为这也会影响决策树的使用。例如，漏洞是否遍布整个企业，或仅影响关键系统的一部分。

在使用 SSVC 并逐步通过决策树时，组织应考虑多个因素。这些因素包括利用状态，可以使用国家漏洞数据库 (NVD) 或信息共享与分析中心 (ISACs) 等来源。这些来源通常提供关于漏洞是否没有利用证据、是否存在概念验证 (PoC) 或是否正在实际环境中被积极利用的见解。

接下来，组织需要了解利用漏洞的技术影响。在这里可以类比 CVSS 的基础评分概念——严重性。可能的取值包括“部分”，即恶意行为者对系统的控制或影响有限；以及“完全”，即恶意行为者对漏洞所涉及的软件或系统的行为具有完全控制权。

另一个关键因素是漏洞利用是否可以自动化。对于恶意行为者来说，能够自动化利用的漏洞比需要人工干预和实施的漏洞更容易扩展其恶意活动。这里的决策值是简单的“是”或“否”。如果答案是“是”，那么恶意行为者可以自动化执行洛克希德·马丁公司网络杀伤链（ (www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html)）步骤1-4：侦察、武器化、投递和利用。指导意见还提到，除了自动化，还必须考虑漏洞链结，因为为了成功利用漏洞，可能需要或可能可以将多个漏洞或弱点连在一起。

从技术影响开始，考虑到任务的普遍性，即对任务基本职能或有关实体的影响。SSVC 指导意见将这些功能定义为“直接与完成组织在其法定或执行宪章中规定的使命相关的功能。”组织通过业务连续性规划（BCP）等演习来识别 MEFs。决策值包括最小、支持或必要。必要是指存在漏洞的组件直接为至少一个 MEF 或实体提供能力，且漏洞利用会导致任务失败。而支持则意味着存在漏洞的组件支持 MEFs 但不直接支持它们。最后，最小是指既不适用必要也不适用支持的情况。

决策树中的下一个考虑因素是公众福祉的影响，即存在漏洞的组件或系统对人类的影响程度。SSVC 采用了美国疾病控制与预防中心（CDC）对福祉的定义：人类的身体、社会、情感和心理健康。这里的决策分为影响的严重程度，可以是物质上的或不可逆的，以及伤害的类型，从身体上的、心理上的，甚至是经济上的伤害都包含在内。

最后是缓解状态的考虑，它衡量了及时缓解脆弱性的困难程度。需要考虑的因素包括：

■缓解措施是否公开可用。
■进行所需系统更改的难度。
■是否存在修复方案或需要临时解决方法。

指导意见强调，缓解措施的价值不应改变 SSVC 决策的优先级，但应积极跟踪和考虑 SSVC。图 3.8 是决策树的示例，但也可以以表格格式表示。