金融行業(yè)開源軟件漏洞風(fēng)險評估框架研究

何東杰 匡翔宇 王 琪 劉為懷 蔣丹妮 楊 潔

1(中國銀聯(lián)電子商務(wù)與電子支付國家工程實驗室 上海 201201)2(復(fù)旦大學(xué)計算機科學(xué)技術(shù)學(xué)院 上海 200433)

0 引 言

隨著開源軟件的不斷發(fā)展和完善，其地位日益重要，金融企業(yè)在生產(chǎn)環(huán)境中不可避免地需要使用開源軟件。雖然開源軟件的源代碼可見，但是由于未參加開發(fā)過程，其質(zhì)量無法評估，這與金融行業(yè)對于軟件安全性的極高要求相違背。

本文從開源軟件導(dǎo)致的安全問題入手，目標在于減少金融公司使用開源軟件的風(fēng)險。開源軟件的安全問題中一個重要部分就是漏洞風(fēng)險。由于無法預(yù)測在將來會不會爆發(fā)漏洞，在漏洞曝光后及時地分析處理是十分重要的工作。企業(yè)用戶需要及時獲取到漏洞信息，并評判其風(fēng)險，才能做出正確的對策。

開源軟件在開發(fā)、維護方式上與閉源(商業(yè))軟件有很大的不同，在漏洞風(fēng)險的評判上要根據(jù)其特性捕獲更多的信息[1]。首先，開源軟件開發(fā)速度較快，必須不斷追蹤和整合包含安全補丁的新版本。其次，開源軟件的漏洞常常直接公布而沒有提前通知使用方，因此，用戶必須時刻保持警惕，做好修復(fù)漏洞的準備[2]。最后，開源組件之間具有較強的依賴性，該組件本身可能沒有漏洞，但是其依賴的組件有漏洞[3]。

開源軟件的漏洞需要考慮漏洞的屬性和軟件的屬性。傳統(tǒng)的軟件度量模型包括軟件成熟度評估模型和開源軟件評估模型。目前主流的模型有OpenBrr、QSOS和OSMM等。本文將逐一論述其模型中的安全性部分的特點和缺陷，并借鑒它們的思想構(gòu)建評估模型。

現(xiàn)有的漏洞發(fā)布平臺，例如NVD和CNNVD等，發(fā)布對漏洞危險的定級時考慮的都是漏洞本身的屬性，而沒有考慮到用戶所在的實際環(huán)境。因此，為了準確地反映漏洞對用戶所在環(huán)境的危害，本文將漏洞本身的因素加入考量，同時也加入了在特定環(huán)境中的評估方法。

1 現(xiàn)有技術(shù)方案

現(xiàn)有的技術(shù)方案主要包括現(xiàn)有的對于軟件安全性的評估框架和對于漏洞的評估兩種。

1.1 軟件度量模型

軟件度量模型主要包括OSMM、QSOS、OpenBRR和OMM。它們都是在2000年之后提出的開源軟件評估模型。

(1) OpenBRR模型：OpenBRR最初由Intel在2005年提出，目前也是開源社區(qū)中較為著名的成熟度評估方案。OpenBRR模型的評估準則主要包括完整性、簡單性、可適應(yīng)性和一致性等。它的評估分為四個階段，分別為軟件初步過濾、增減與確定評估指標模版、搜集評估原始數(shù)據(jù)并度量和通過加權(quán)和計算軟件的評估。在安全性的評估方面，主要有三項指標，分別為最近6個月中等到十分危險的安全隱患數(shù)量，當前仍存在的安全隱患數(shù)量和有沒有致力于安全性的信息。每個指標采用1～5的五級度量，采用加權(quán)和的方式計算結(jié)果。可見，其安全性的評估很薄弱，僅考慮了過去和未來的漏洞數(shù)量。

(2) OMM模型：OMM模型是由歐盟和華工大共同提出的成熟度模型。OMM更注重于對開發(fā)過程的考察，它的模型定義分為兩個階段，分別為確定評價因子和因子分解為相應(yīng)的目標。官方提供可信因子有12項，其中安全性相關(guān)的只有1項：缺陷數(shù)目和錯誤報告[4]?？梢姡琌MM模型在安全性方面的評估比OpenBRR模型更薄弱，并且它沒有給出具體的評價規(guī)則。

(3) OSMM模型：OSMM模型分為OSMM-C模型和OSMM-N模型。OSMM-N模型包含了6項一級屬性，然而都與安全性無關(guān)，只能算在可維護性和支持性方面。OSMM-C模型中包含了15項因素，較OSMM-N擴展了一倍多，其中包括了安全性，含義為必要的安全措施和必要的限制，包括訪問控制和用戶授權(quán)等。

1.2 漏洞評估方法

現(xiàn)有的漏洞評估方法主要有CVSS和OVAL兩種，其中CVSS使用最為廣泛。

(1) CVSS：CVSS是一種計算漏洞危害的評分方式，主要包括三項分數(shù)基礎(chǔ)分、臨時分和環(huán)境分。基礎(chǔ)分用于描述漏洞的內(nèi)在屬性；臨時分主要是由外部事件導(dǎo)致的影響，是一個隨時變動的數(shù)值；環(huán)境分用于反映漏洞對該組織的影響[5]。CVSS目前最新的版本是3.0，漏洞的得分介于0～10之間，按照分數(shù)劃為5個等級，9.0分以上為危急漏洞。

表面上看CVSS的三項分數(shù)具有相當?shù)钠者m性，能夠覆蓋大部分因素，然而現(xiàn)實情況是包括NVD和CNNVD在內(nèi)的漏洞發(fā)布機構(gòu)都只發(fā)布CVSS的基礎(chǔ)分，其他兩項分數(shù)需要用戶自己去評估?，F(xiàn)實情況下，絕大多數(shù)企業(yè)都沒有能力和精力來進行評估，都采用標準推薦的權(quán)重和分數(shù)，并且只考慮基礎(chǔ)分，這就導(dǎo)致了CVSS的得分有很大的局限性。

(2) OVAL：OVAL是一種用來評估漏洞XML格式的描述語言可以用來分析各種操作系統(tǒng)和嵌入式系統(tǒng)的狀態(tài)、漏洞補丁等情況，它主要包括定義、測試、對象、變量和狀態(tài)這五項因素[6]。OVAL只是一種用來描述漏洞語言，本身不能對漏洞進行打分，但可以基于它進行漏洞的評估。

1.3 攻擊圖技術(shù)

攻擊圖產(chǎn)生于20世紀90年代，最近幾年成為了研究熱點。攻擊圖用來模擬潛在攻擊者可以用來侵入目標網(wǎng)絡(luò)的可能路徑，以及用于確定相應(yīng)的主動和被動安全措施。攻擊圖生成過程包括漏洞信息處理，收集網(wǎng)絡(luò)拓撲和應(yīng)用信息，確定網(wǎng)絡(luò)主機之間的可達性條件以及應(yīng)用圖建立算法[7]。

攻擊圖可以表示潛在攻擊者通過利用主機上的一系列漏洞并在每一步獲得某些特權(quán)的侵入目標網(wǎng)絡(luò)的方式。在傳統(tǒng)的攻擊圖中，節(jié)點代表攻擊者在網(wǎng)絡(luò)主機上獲得的特權(quán)，邊代表攻擊者為獲得這些特權(quán)而使用的軟件漏洞。攻擊者需要在某些主機上擁有一組特權(quán)才能利用網(wǎng)絡(luò)主機上的特定漏洞。在成功利用主機上的漏洞后，攻擊者會獲得其他特權(quán)，并繼續(xù)攻擊網(wǎng)絡(luò)中的其他主機，或嘗試使用其他漏洞提升此主機上的特權(quán)。本文對傳統(tǒng)的攻擊圖算法進行改進，使其適應(yīng)于系統(tǒng)中單個漏洞的影響評估。

2 本文研究方法

在研究方法上，本文先提出金融開源軟件漏洞風(fēng)險評估模型，再提出相應(yīng)的具體評估方法。在評估方法上主要使用了網(wǎng)絡(luò)信息獲取工具和攻擊圖的手段。

2.1 風(fēng)險評估模型

本文所設(shè)立的模型借鑒了軟件成熟度模型的分級打分策略。一級屬性設(shè)置了漏洞因素、質(zhì)量因素、影響因素三項。三項因素的表格如表1所示。

表1 金融行業(yè)開源軟件漏洞風(fēng)險模型評估條件及子屬性

漏洞因素用來衡量該漏洞的威脅，是漏洞本身具有的屬性，設(shè)計時借鑒了CVSS的思想。主要包括漏洞利用難度、攻擊所需資源和對安全三要素(機密性、完整性和可用性)的影響。

質(zhì)量因素用來衡量開源軟件的因素，主要包括四點，即:1) 該軟件之前曝光漏洞的次數(shù)，即在過去有多少高、中危漏洞被曝光，用來反映該軟件的開發(fā)質(zhì)量。2) 該軟件在生產(chǎn)環(huán)境中的穩(wěn)定性，即該軟件在生產(chǎn)環(huán)境中穩(wěn)定運行的時間占總時間的比例，用來反映該軟件的漏洞是不是偶然事件。3) 該軟件最近更新的頻率，如果開源社區(qū)衰落，缺乏開發(fā)者維護代碼，導(dǎo)致軟件缺乏維護，會增加漏洞和故障的可能性[8]。4) 該軟件開發(fā)者等級，有寫代碼平臺如Openhub對開發(fā)者的等級進行了評級，可以借此推斷軟件質(zhì)量。

影響因素用來衡量該漏洞被利后對系統(tǒng)造成的影響，主要受兩方面的影響。1) 該軟件在系統(tǒng)中的層次，通常可以分為應(yīng)用軟件、中間件軟件、支持軟件、平臺軟件、底層軟件還是操作系統(tǒng)級軟件。被攻擊時，越低層的軟件往往具有越大的權(quán)限，也能造成更嚴重的破壞。2) 該軟件被依賴的程度，環(huán)境中其他的軟件對該軟件調(diào)用的方式，也包括該軟件為其他軟件包括上層軟件提供服務(wù)的方式。如果在系統(tǒng)中較多依賴于該軟件提供的特定功能才能正常運行，則其被依賴程度較高，一旦該軟件被攻擊，會牽扯到與其相關(guān)的其他軟件。

2.2 風(fēng)險評估計算方法

本文中每個一級要素的分值，要通過二級要素的分數(shù)計算得到，而二級要素則需要按照相應(yīng)的標準去評判。本文通過對國內(nèi)外諸多代碼托管平臺上開源軟件特征的調(diào)研，確立了評價策略。

漏洞因素可以采用CVSS V3的評分，將其基礎(chǔ)分采納作為漏洞因素的得分VL，這是一個介于0～10之間的整數(shù)。

質(zhì)量因素二級屬性評價方式采用權(quán)值積分的方式，得分按照三級制給出，分別為1分、3分和5分。具體的評價方式如表2 所示。實際使用中可以根據(jù)需求進行屬性的增加和刪除，也可以對評分細則進行修改。

表2 金融行業(yè)開源軟件漏洞風(fēng)險模型質(zhì)量因素評估細則

質(zhì)量因素主要考慮了最近一年內(nèi)中高危漏洞數(shù)量、開發(fā)者等級、最近一年內(nèi)軟件更新周期和可靠運行時間占比這四項所有開源軟件都具備的屬性，保證評估方式可實施。

在得到質(zhì)量因素各二級要素分值之后，通過表2中所給出的權(quán)值，加權(quán)求和。表2中的權(quán)值是本文分析得出的經(jīng)驗值，在實際使用時可根據(jù)企業(yè)運維人員對軟件質(zhì)量的理解調(diào)整權(quán)值。其中，質(zhì)量因素有n項指標，分別為Q1～Qn，他們的權(quán)重分別為WQ1～WQn則，質(zhì)量因素為：

(1)

影響因素的分值通過2.3節(jié)所描述的攻擊圖算法得到，先生成SVRA攻擊圖，再執(zhí)行評估算法，得到風(fēng)險值A(chǔ)F?？偟穆┒达L(fēng)險為：

(2)

2.3 風(fēng)險評估數(shù)值獲取

本文針對模型中的評估屬性都給出了切實可行的操作方案。包括了整體方案、信息獲取方案和漏洞影響評估方案。

2.3.1 整體方案

整體方案包括漏洞因素獲取、質(zhì)量因素獲取和影響因素獲取三部分，流程如圖1所示。

圖1 風(fēng)險評估工作流程

漏洞因素采用NVD給出該漏洞CVSS V3基礎(chǔ)分。為此需要維護一個信息獲取工具，用來獲取漏洞因素得分。質(zhì)量因素前三項也需要該工具獲取信息?？煽窟\行時間占比通過分析日志內(nèi)容獲得，這方面有許多現(xiàn)有的工具[9]，使用人工方式分析也可以。影響因素通過使用掃描工具分析開源軟件所屬環(huán)境，并使用SVRA算法，計算出該漏洞在特定系統(tǒng)中的影響大小。

2.3.2 信息獲取方案

信息獲取工具需要爬蟲工具的支持。與一般的網(wǎng)頁爬蟲相比，漏洞信息已知要獲取信息的頁面和需要的內(nèi)容，可以放棄通用爬蟲的普適性，但是需要有較強的魯棒性，能夠應(yīng)對常見的異常情況。

本文所提信息獲取方案采用了兩種手段增強魯棒性：(1)從多個數(shù)據(jù)源獲取數(shù)據(jù)，例如代碼托管平臺可以選擇多個，包括國外的Github、Gitlab、BitBucket、SourceForge、Google Open Source以及國內(nèi)的碼云、碼市、CSDN Code、百度效率云等。漏洞公布平臺則包括了NVD和CNNVD等。(2)獨立維護元素路徑。將單獨維度將爬蟲的獲取元素路徑單獨提煉出來，生成一個表格，如表3所示，使得它更容易維護，當頁面布局發(fā)生變化時，修改較為方便。

表3 信息獲取路徑表

通常情況下頁面信息的變更主要是錯位和丟失兩種情況，如表4所示。丟失，即某項信息無法獲取，但其他內(nèi)容沒有異常；錯位是由于頁面信息的增加或減少導(dǎo)致獲取到的信息名稱和內(nèi)容不匹配。此外，也要考慮到錯位和丟失同時存在的情況。

表4 發(fā)生錯誤的情況

區(qū)分了錯誤類型后，異常情況的監(jiān)測就可以實施了。丟失情況比較容易發(fā)現(xiàn)，當發(fā)現(xiàn)存在無法獲取的值時，即發(fā)生了丟失。錯位情況比較難以發(fā)現(xiàn)，本文采取的方式是將獲取的數(shù)據(jù)與之前的結(jié)果進行對比，如表5所示。當發(fā)現(xiàn)數(shù)據(jù)的長度或格式無法匹配之前內(nèi)容時，進行異常報警。異常監(jiān)測可以設(shè)置成定時任務(wù)，定期提醒運維人員介入核查錯誤內(nèi)容。

表5 正常信息與異常信息對比

對于質(zhì)量因素中的開發(fā)者等級和軟件更新周期這兩項屬性可以采用和漏洞信息相同的獲取方法，只要對獲取路徑表中的內(nèi)容進行修改為相應(yīng)的開源軟件門戶和代碼托管平臺。

2.3.3 漏洞影響評估方案

為了評估漏洞影響因素，本文借鑒了攻擊圖的思想，提出了一種對系統(tǒng)中單個漏洞進行評估的算法：SVRA(Single vulnerability risk assessment)算法。

SVRA圖生成算法:SVRAconstruct輸入:軟件集S,關(guān)系集R和漏洞集Vul輸出:攻擊圖AGBegin:bool visited[S.length]queue Qforeach m_Vul: Vul: if visited[m_Vul.s]: continue Q.push(m_Vul.s) visited[m_Vul.s] = true S[m_Vul.s].vul = m_Vul.score while !Q.empty(): node = Q.front V.push(node) foreach r: R: fro = r.f, end = r.e if end=node: swap(fro, end) if fro=node&&!visited[end]: E.push(r) Q.push(fro) visited[end] = true Q.pop()return (E,V)End

SVRA漏洞風(fēng)險及其影響因素評估算法:SVRAevaluate輸入:攻擊圖AG輸出:漏洞及其影響因素的集合Begin:foreach v: AG.V: if v.ris <= 0: continue AG.initRis() queue.clear() queue.push(v) m_ris = 0 while !queue.empty: m_v = queue.front m_ris+= m_v.ris * m_v.srv.num foreach e: AG.E: if e.second != m_v: continue if m_v.ris > e.front.sec: t_ris = m_v.ris - e.front.sec t_ris+= e.front.aut - m_v.aute.ris = t_ris queue.push(e.front) queue.pop endwhile; result.push_back(v, m_ris) sort(result.begin,result.end,comp_ris)return resultEnd

SVRA算法包含兩部分:SVRA圖生成算法和SVRA漏洞風(fēng)險及其影響因素評估算法。

傳統(tǒng)的攻擊圖構(gòu)建了一個以屬性、攻擊方式、漏洞與權(quán)限為屬性的圖，并且利用貝葉斯網(wǎng)[10]或Petri網(wǎng)[11]進行攻擊可達性的判斷。本文所提出的SVRA算法與傳統(tǒng)攻擊圖算法有兩方面的區(qū)別：(1)傳統(tǒng)攻擊圖考慮的是網(wǎng)絡(luò)環(huán)境中主機之間的關(guān)系，構(gòu)圖的粒度在主機層面，入侵途徑是從整個系統(tǒng)的最外層開始，而SVRA算法的粒度在主機上的軟件層面，入侵途徑從已知軟件漏洞開始。(2)SVRA攻擊圖的評估方法不一樣，傳統(tǒng)攻擊圖主要考慮從一個漏洞到另一個漏洞，從一種權(quán)限到更高權(quán)限的躍遷，而SVRA的評估計算的是對其他節(jié)點而非漏洞的影響，考慮的是節(jié)點間的關(guān)系而不是漏洞間的關(guān)系。

本文中攻擊圖可以表示為AG=(E,V),其中E為邊集，即軟件之間存在的調(diào)用關(guān)系，是一條有向邊；V表示節(jié)點集，是系統(tǒng)的軟件集合，對于任意的軟件v，可以用五元組表示。其中：nam表示該軟件的名稱或編號；srv表示該軟件涉及的服務(wù)，多個軟件可能涉及同一服務(wù)，sec表示該軟件本身的安全性，如訪問控制、日志記錄等；ris表示該軟件當前所受風(fēng)險；aut表示該軟件運行所需的權(quán)限。

SVRA圖生成算法在構(gòu)建時可以將多個漏洞考慮在內(nèi)，加快構(gòu)圖速度，方便漏洞間的對比。算法的輸入為初始軟件集S、初始關(guān)系集R和初始漏洞集Vul。軟件集S標識了系統(tǒng)中的所有軟件，關(guān)系集R標識了系統(tǒng)中軟件之間的調(diào)用關(guān)系，用有向圖表示，如果是一個雙向的關(guān)系，則需要再加入一條反向的邊，漏洞集Vul是信息獲取工具得到的漏洞信息。SVRA圖生成算法返回的結(jié)果是攻擊圖AG。在生成算法中，刪除了不相關(guān)的軟件和關(guān)系，也刪除了圖中的環(huán)路，并將初始漏洞集的信息和附著到得到的節(jié)點集，方便后續(xù)分析算法的實施。

在得到了攻擊圖之后，利用影響因素評估算法更新攻擊圖中的每一個節(jié)點的ris風(fēng)險值。SVRA評估算法，綜合考慮了軟件的服務(wù)、安全性和權(quán)限，計算出攻擊路徑可達的節(jié)點上所受的影響，最終將整個網(wǎng)絡(luò)的節(jié)點影響因素求和，按照遞增的順序給出漏洞及其影響因素的集合。

3 實 驗

本文選取了目前金融行業(yè)常用的開源消息中間件rabbitMQ和開源分布式數(shù)據(jù)庫Hbase漏洞進行評估。具體的漏洞選擇了rabbitMQ的跨站腳本漏洞，CVE編號為CVE-2017-4967，以及Hbase的權(quán)限許可和范文控制漏洞，CVE編號為CVE-2015-1836。采用本文所述方法測評并對比二者的漏洞風(fēng)險差異。

首先獲取漏洞信息，利用本文所述信息獲取方案采集到漏洞詳細信息，可知CVE-2017-4967漏洞對的CVSS V2基礎(chǔ)分為4.3，V3基礎(chǔ)分為6.1；CVE-2015-1836漏洞對的CVSS V2基礎(chǔ)分為7.5，V3基礎(chǔ)分為7.3。為方便計算，統(tǒng)一采用V3基礎(chǔ)分。

然后計算質(zhì)量因素，利用本文所述的信息獲取方法，得到原始數(shù)據(jù)，再利用評估模型的得分評判標準，可以得到表 6中所示的數(shù)據(jù)，其中對比展示了Hbase和rabbitMQ的質(zhì)量因素子屬性差異。

表6 質(zhì)量因素子屬性初始值得分對比

對于表6中的內(nèi)容，利用式(1)求得Hbase對的質(zhì)量因素得分為2.5分，rabbitMQ的質(zhì)量因素得分為3.7分。

最后對影響因素進行計算。先獲取系統(tǒng)拓撲結(jié)構(gòu)信息，實踐中有三種方式：(1)使用掃描工具如MulVAL、NetSPA和TVA等[12]，再轉(zhuǎn)化為SVRA攻擊圖；(2)用人工采集的方法，找出系統(tǒng)中正在運行的進程和各個端口所對應(yīng)的狀態(tài)和程序，然后根據(jù)已知的程序之間關(guān)系擴展得到軟件拓撲結(jié)構(gòu)；(3)利用開源軟件的特性，掃描源代碼，獲取程序之間的調(diào)用關(guān)系。

利用系統(tǒng)拓撲信息以及獲取到的漏洞信息，采用SVRA算法繪制出攻擊圖，如圖2所示。圖中顯示了節(jié)點和節(jié)點間的調(diào)用關(guān)系，節(jié)點后的兩個數(shù)字分別是五元組中的序號和風(fēng)險值。初始狀態(tài)下只有漏洞的兩個節(jié)點有影響值，分別標記為x和y。

圖2 SVRA算法生成的攻擊圖

得到攻擊圖AG之后，檢查是否有節(jié)點的遺漏或重復(fù)，如果有問題可以手動修改。AG生成成功之后執(zhí)行攻擊圖評估算法。本實驗中得到的評估結(jié)果為rabbitMQ的CVE-2017- 4967漏洞影響因素為3.2，hbase的CVE-2017- 4967漏洞影響因素為1.7。

將漏洞因素、質(zhì)量因素和影響因素的分值利用式(2)計算風(fēng)險值，可以得到CVE-2017- 4967漏洞的風(fēng)險值為3.72，CVE-2015-1836漏洞的風(fēng)險值為4.96。因此可知CVE-2017-1836帶來的風(fēng)險更大，當系統(tǒng)中這兩項漏洞同時存在時，應(yīng)先修復(fù)該漏洞。

4 結(jié) 語

本文比較了軟件安全性評估方法和漏洞風(fēng)險評估方法，提出了同時考慮軟件特性與漏洞特性的開源軟件漏洞風(fēng)險評估方法。該方法評估得到的風(fēng)險值來源于本文提出的三項因素，分別是漏洞因素、質(zhì)量因素和影響因素。

為了能夠讓評估過程客觀可操作，本文給出了具體的評估標準和方式，并以兩個漏洞為例給出具體的分析評估過程，驗證了理論的可行性。

本文提出的漏洞風(fēng)險評估框架能適用于金融公司的生產(chǎn)環(huán)境，為金融信息技術(shù)的安全性課題做了一點貢獻。