应对网络威胁的最佳安全实践

在过去的13里，赛门铁克公司公布了年度或者半年的互联网安全威胁报告。去年，也就是2015年4月，20卷报告对公司和个人可能面临的威胁类型做了非常全面的汇总。赛门铁克的报告将威胁分为以下几种：移动装置和物联网、赛博威胁、社交媒体和诈骗、定向攻击、数据窃取和隐私、电子犯罪和恶意软件。每一种威胁都包括更详细的威胁定义，例如，浏览器漏洞、电子邮件钓鱼、数据窃取、勒索软件等。（Symantec，2045，4）。 2014年4月的报告包括公司和个人应对威胁的建议。表2汇总了对于公司的最佳实践指导原则。

 来源∶赛门铁克公司，互联网安全威胁报告，19卷（（Mountain View, CA∶赛门铁克公司，2014），87 - 88，

report_v19_21291018.en-us.pdf.

这14条对于公司的最佳实践指导原则是经过对机构的网络和信息安全态势审查会得出的很好的总结。这些最佳实践指导原则有助于保护计算机系统免受逻辑攻击或黑客攻击，还需要采取其它措施保护网络的物理链接。

只有使用对抗敌方电子战的最佳实践，才能保护网络免受物理攻击。对抗敌方电子战的战术方法如下：

来源∶阿德里安•格雷厄姆（Adrian Graham），通信、雷达和电子战(Hoboken, NJ: John Wiley and Sons, 2011), 325.

ATP 6-02.53列出了对抗敌方通信电子战的其它战术方法，“（根据信号操作指令）频繁更改网络呼号和频率；使用批准的编密码系统、代码和验证系统；了解电子保护设备要求；保证电台机械故障或者电气故障的快速维修可以减小电台区别特征”（陆军部，2016，12 - 3）。陆军条例也强调电子保护是司令部的职责，G-6和S-6编写和进行了电子保护培训计划。机构使用这些最佳实践可以保护系统免受逻辑的互联网安全威胁和物理的电子战威胁，而公共漏洞与暴露（CVE）目录的趋势分析可以使信息技术专家和美国陆军通信兵首长进一步了解目前网络所面临的威胁。

问题分析

（一）公共漏洞与暴露（CVE）目录

MITRE公司的公共漏洞与暴露（CVE）目录是一个关于公开已知的信息安全漏洞和暴露的开源程序库（MITRE 2016）。公共漏洞与暴露（CVE）网址的常见问答部分给出了公共漏洞与暴露（CVE）目录的目的和使用的背景资料。 

公共漏洞与暴露（CVE）是由美国国土安全部网络安全和通信办公室的计算机安全应急响应组（CERT）主办的。 作为美国国土安全部的联邦投资研究与发展中心（FFRDC），MITRE公司拥有公共漏洞与暴露（CVE）目录的集体版权，这样可以保证它的自由和开放标准，并从法律上保护政府、供应商和用户对其内容的持续使用。（CVE，2016）

将这一目录作为开源工具，可以允许任何人定义已知的病毒。目录接收了病毒定义后，就可以对病毒定义进行标准化，病毒的发现归功于病毒的发现和定义者，有时会给发现者发放奖金。研究人员通过对公共漏洞与暴露（CVE）目录的分析，可以提供已知病毒定义的当前情况。MITRE公司的罗伯特•马丁（Robert Martin）从前对这一问题进行过研究，他呼吁：“使用标准的知识表达、枚举、交换格式和语言、共享密钥一致性和符合性指令的标准方法”（Martin，2008，1）。 他在本报告中将公共漏洞与暴露（CVE）定义为，“公开已知漏洞的标准标识符”（Martin，2008，3）。 马丁（Martin）与史蒂夫•彻瑞斯特（Steve Christey）一起，对导致公开报告的漏洞的错误进行了5的跟踪研究以后，于2007年5月共同编写了原始漏洞类型分布文件。（Christey和Martin，2007，1）。 他们在研究中发现，漏洞的数量每年都在增加漏洞的形式却各不相同。（Christey和Martin，2007，2）。马丁（Martin）和彻瑞斯特（Christey）对公共漏洞与暴露（CVE）目录做了最初的研究，2007年和2008年以后，其它研究人员对他们的工作做了进一步的扩展。

对2010年和2012年进行了趋势分析，对攻击和漏洞进行了排序。首先，斯特凡•诺伊豪斯（Stephan Neuhaus）和托马•齐默尔曼（Thomas Zimmermann）利用机器学习方法，发现了2009年年底之前已经确认的39393种公共漏洞与暴露（CVE）的趋势。研究人员解释说，这是在MITRE公司之外第一次对公共漏洞与暴露（CVE）数据库中的整个数据进行的独立研究，他们发现，“在过去的几年里，缓冲溢出和格式串这样的众所周知漏洞在持续减少.... SQL注入和异位副本表现出增长的趋势。”（Neuhaus和Zimmermann，2010，1 - 6）。研究人员对公共漏洞与暴露（CVE）目录的内容进行了分析，确定了漏洞的发展趋势。

（二）发展趋势

通过对1999年到2016年1月25日记录的总计87883个范例的CVE列表的数据进行分析，显示了公共漏洞与暴露的数量，包括其中定义的41种缺陷类型以及每年使用与克瑞斯特（Christey）和马丁（Martin）在2007年所定义的缺陷类型相同的41种缺陷类型的范例的数量。克瑞斯特（Christey）和马丁（Martin）定义的这41种缺陷类型被用作进行数据集分析的变量。那些41种类型发生的频次导致共有69753例被计入总数为87883例中进行分析，这占到范例总数的79.37%。

相比之下，在2007年当克瑞斯特（Christey）和马丁（Martin）第一次分析CVE列表时，他们把18809例中大约有4000例定义为“其他”或“未指定”。这意味着范例总数的78.73%符合克瑞斯特（Christey）和马丁（Martin）在2007年创建的漏洞和风险、或缺陷的定义。研究人员解释说，使用最频繁发生的定义来对漏洞和风险进行分类，而不是每当分析数据集中的范例时试图定义成百上千个缺陷，这样更有成本效益，(克瑞斯特（Christey）和马丁（Martin）2007年，17)。

表4以图形显示了自1999年以来范例日益增多的趋势。公共漏洞与暴露定义的总数量开始于1999年每年为1592例，已发展到2015年定义的总计8787例漏洞。在2014年一年内发生的9659例定义的大多数漏洞被添加到CVE列表中。第一个六年漏洞的平均数量为1870例，当时2004年报告的范例最多的是2778例。从2005年开始每年定义的漏洞总数有显著的增加。在2005年定义的漏洞范例总数是六年平均水平1870的两倍还多， 高达4895例。紧随此飙升之后的是另一个巨大的飞跃，从2006年到2008年平均每年高达7111例漏洞。从1999年到2004年的第一个六年平均每年为1870例。从2005年到2010年的第二个六年平均每年为6117例。甚至2016年只有一个月的数据， 从2011年到2016年的这下一个六年平均每年有6666例定义的新漏洞。本研究的数据仅包括直至2016年1月25日的漏洞，而截至2016年5月2日，就有4427例定义的漏洞。将1月份报道的2029例替换为直至5月份报道的4427例，可算出六年来平均每年有高达7059例定义的漏洞。因此，自2004年直到2016年，每六年来每年定义的漏洞数量平均值已经增长了近4倍。

表4 每年CVE定义总数

表5显示了每年新定义的漏洞和风险的数量的精确值。这与表4中作为条形图显示的数据相同。一年中报道的最少漏洞和风险发生在2000年仅仅有1244例。一年中最多范例发生在2014年，新定义的漏洞和风险总数高达9659例。

表5 详细说明的每年CVE定义的总数

表6按类别显示了缺陷的分布，占从1999年到2016年1月25日记录的87883例的百分比。如同这个表所示，公共漏洞与暴露占比最高的是XSS变量，这是跨站脚本攻击的缩写(XSS)。通过从表格顶部开始按最少发生到最频繁发生XSS定义的顺序显示它们，表6提供了对每种预定义的漏洞类型的一个很直观的比较。与Christey早些时候的研究相比，前五名/前十名多样性百分比依据表7来计算，并在表8中显示。

表6 单个缺陷的总百分比

它有助于了解条形图中所代表的数据以及按最少到最多发生频次组织的数据，但它也有助于查看表中的原始数据。而表6显示了条形图中每一种漏洞的比较，以从1999年到2016年1月整个数据集的所占比例显示，表7显示了表中列示的每种类型漏洞范例的准确数值。此外，克瑞斯特（Christey）提供的描述被列示在此表中(2007年克瑞斯特（Christey）和马丁（Martin），18 - 24)。

表7——每种缺陷的描述和总数量

来源: 史蒂夫·克瑞斯特（Steve Christey）和罗伯特A. 马丁（Robert A. Martin）， “CVE中漏洞类型的分布” 2007年， 2016年1月17日访问，

，18-24。

表8提供了从1999年到2016年1月25日的前五名和前十名漏洞占全部范例的百分比。这是截止当日在CVE列表中定义的漏洞和风险总计87883例的百分比。当克瑞斯特（Christey）和马丁（Martin）在2007年进行最初的研究时，他们总共分析了18809例。克瑞斯特（Christey）和马丁（Martin）先前研究的前五名漏洞占据了总数18809例的46.1%; 前十名漏洞占总数18809例的57.3%。当前研究的结果如表8中所示。当前的研究表明，前五名漏洞所占比例下降为漏洞总数的40.44%，而前十名漏洞代表定义的漏洞和风险总数的58.4%。这意味着前十名威胁是现在更大的威胁，也是更常见的黑客选择利用的薄弱点。

表8 前五名和前十名

表9 从2007年到2016年前十名的比较

另一个有用的比较是看看2007年前十名名单中具体的漏洞和风险与当前本研究中的前十名名单的比较。表9提供了并排比较克瑞斯特（Christey）和马丁（Martin）在2007年观察到的十大漏洞和风险与当前本研究中观察到的十大漏洞和风险。当前十名最常见威胁占每年定义的漏洞和风险总数的比例越来越高，这意味着更应当重视防止这些类型的漏洞和风险再次发生。同时，值得注意的是，本研究中的前十名漏洞和风险类型的名单不同于那些在2007年前十名漏洞和风险类型的名单。跨站脚本攻击或XSS仍然是最常见的威胁。仍然位列前十名的其他漏洞包括SQL注入漏洞、缓冲区溢出、点或目录遍历。当前研究中新的或后起的前十名名单的威胁包括未知的漏洞，糟糕的权限分配， 文件的相对路径漏洞或不可信的搜索路径漏洞，默认或硬编码的密码，脆弱的/差劲的身份验证问题，以及欺骗攻击。

使用微软Xcel中表格格式功能和条件格式功能，对每个单独变量或漏洞进行进一步的分析比较。这允许研究人员在.cve文件中隔离特定的文本，以便于每年分析特定变量的频次。QDA Miner Lite中不能按年份和按变量进行分析，因为在该软件的Lite版本中大部分功能被禁用了。当在Xcel中缺陷对数据编码时，发现了一个有趣的趋势，即139例的描述中有“跨站脚本”的也有“sql”描述。这表明许多已定义的漏洞和风险比原来克瑞斯特（Christey）和马丁（Martin）定义的41个类别更复杂。这兼有XSS和SQL描述的139例， 每年它们出现的频次列示在表10中。为了提供更清晰参考，返回到CVE列表的2015年那一栏， 当年出现的8例的CVE列表编号如下: CVE-2015-1374， 3438，3440，4660，5064，6010，6945和7383(仅显示最后四位数)。

表10 XSS 和SQL兼有的描述

表11提供了前五名最常见的漏洞及其每年出现的频次。这个分析是在微软Xcel中使用过滤和条件格式对整个.csv文件进行的。数据表明，五个最频繁出现的缺陷经历了黑客流行的时期。举例来说，2006年的跨站脚本攻击和SQL注入漏洞非常常见。然后在2007年，缓冲区溢出漏洞在前五名漏洞中领先。最后，在2015年“权限分配不当”漏洞达到其峰值，并在前五名中排名第三。

表11 按年份列出的前五名最常见漏洞

按其在文献综述中被提及的次数，将最后一个搜索词键入原始数据集中；研究人员在Xcel中键入“拒绝服务”，用于统计所定义的拒绝服务攻击的总频次。总列表指出，87883例中总共有15867例带有文本“拒绝服务”的描述。2015年，共出现了1689例的“拒绝服务”漏洞; 2014年为1500例；2013年为1493例。因为这并非克瑞斯特（Christey）和马丁（Martin）定义的具体缺陷之一，很难将之与前面的研究进行比较，然而，这个漏洞每年出现的数量远远大于上面列出的前五名出现的数量。

• 《中国电子科学研究院学报》欢迎各位专家、学者赐稿！投稿链接 

• 电话：010-68893411

• 邮箱：dkyxuebao@vip.126.com

• 配图均来自于网络。

• 如需转载，请在后台回复“转载”。