[[120664]]

對產品或應用的安全性做出科學的評判是一項很困難的事。相關機構一般的做法，只是會根據操作系統和熱門應用程序披露的漏洞個數，來衡量其安全性。

評定安全性的老辦法：只根據漏洞個數

通常來說，復雜的環境可能導致不同的結果。來自馬里蘭大學的研究人員，在本周于瑞典召開的《攻擊、滲透與防御研究》的專題討論會中，發表了這次的研究成果，他們希望引入一組新的、基于真實環境下收集的漏洞利用的數據指標。

他們在報告中寫道，《不一樣的漏洞：在真實環境下研究漏洞和攻擊》，其中提出了另一種概念。安全研究人員以前之所以過去把漏洞的個數當作評估系統和應用程序安全性的最好的方法，是因為大多數漏洞并沒有被實際利用過，攻擊條件也是一種不準確的指標，因為用戶經常往操作系統里安裝應用程序，或者更改里面的配置。

“現有的安全指標，如一個產品的漏洞數量，或是其理論上的攻擊條件，并沒有考慮到以上這些影響因素。”

團隊的研究人員–Kartik Nayak, Daniel Marino, Petros Efstathopoulos和Tudor Dumitras在他們的報告中陳述道。

細數新定指標

對此，研究人員提出了兩個新的評估指標：一個可以衡量漏洞是否得到利用，而另一個則可以衡量漏洞的利用頻率。

新定指標相關內容為：

1.從一批可靠的數據來源中，我們收集到了真實環境下實施利用的漏洞，其中的來源包括國家漏洞庫、供應商的IPS以及反病毒簽名庫。

2.漏洞利用率指的是在一定時段內利用的時候，產品漏洞被捕獲的那部分的利用率。(比如在產品某版本發布的頭幾個月內)

3.攻擊當量：計算某產品在特殊時間段被攻擊的頻繁程度。

4.攻擊條件：特定時間段內符合攻擊條件的區域，實質上這反映了主機上漏洞利用的數量。

真實環境下的研究

研究人員實驗中使用的一些數據來源，其中包括國家漏洞庫，以及來自六千三百多萬主機上的反病毒和入侵防護數據。他們檢查了每個版本的Windows，從Winxp到Win7，以及新版本的Adobe Reader,Office和IE瀏覽器，最后得出結論：這些程序已披露的漏洞，在單獨進行攻擊時的利用率在35%以下。但是當綜合利用各產品漏洞時，其比例下降到了15%，而隨著新版產品的發布，該比例還在下降。

舉個例子，ASLR和DEP的展示將Win7放到了Windows產品歷史中前所未有的高度。同樣的情形也在Adobe Reader的介紹沙盒時重演。

研究人員表示，踏出實驗室在真實環境里進行研究是非常有必要的。

準確率的提升

“因為漏洞計數和攻擊條件能預估出攻擊者成功的幾率。雖然這種方法不一定非常準確，但我們還是轉而專注于在該領域進行突破，”研究人員寫道。“結合現有的指標，加上進行安全漏洞和攻擊行為對真實環境的影響的考量，可以對網絡攻擊的風險做出更準確的評估。”

研究人員稱，新指標可以幫助系統或網絡管理員獲取一個更加準確的風險評估，若有漏洞可以提前獲得修補。

注：原文描述有些復雜，譯文中加入了一些改動和注釋，但大意不變，希望能讓讀者更方便理解。

[參考信息來源threatpost.com]