【文献翻译】基于CVSS的IT系统网络安全风险定量评估方法-A Quantitative CVSS-Based Cyber Security Risk Assessment Methodology

基于CVSS的IT系统网络安全风险定量评估方法

A Quantitative CVSS-Based Cyber Security Risk Assessment Methodology For IT Systems

摘要

由于我们不断增长的IT系统中网络威胁不断增加，IT系统风险评估是必不可少的。此外，法律法规敦促组织定期进行风险评估。尽管存在多个风险管理框架和方法，但这些框架和方法通常是高水平的，没有为不同的风险视图定义风险度量、风险度量值和详细的风险评估公式。为了满足这一需求，我们定义了一种针对IT系统的新型风险评估方法。我们的模型是定量的，以资产和漏洞为中心，定义了低级别和高级别的风险度量。高级别风险指标分为两大类；基于基本图和攻击图。在我们的论文中，我们提供了每一类公式的详细解释，并向那些有兴趣将所建议的方法应用于其IT系统的人公开我们实现的软件。

关键字：攻击图、网络安全风险、风险评估、风险度量、漏洞管理

1.介绍

IT系统中的风险评估是识别、估计信息安全风险并确定其优先级的过程。它是整体风险管理战略的关键组成部分[1]。通过进行风险评估，组织了解其IT基础架构和资产的脆弱性，并相应地规划所需的缓解方法[2]。

随着IT系统、应用程序和数据资产的数量和依赖性的增加，风险评估和缓解变得越来越重要[2][3]。越来越多的网络威胁促使组织不断测量其系统的安全级别，并进行风险评估，以发现其IT系统上的弱点，并通过按优先顺序修复风险，最大限度地减少对可能威胁的暴露[4]。此外，法律、授权、法规和标准，如《健康保险便携性和责任法案》（HIPAA）、《格拉姆-里奇-布利利法案》（GLBA）、《联邦信息安全管理法案》（FISMA），《萨班斯-奥克斯利法案》（SOX）和ISO 27001[5]要求组织定期进行风险和脆弱性评估，并实施规定的安全控制。

风险管理框架和方法，如NIST标准[1][6]、便利风险分析过程（FRAP）、操作关键威胁、资产和脆弱性评估（OCTAVE）和ISO信息安全风险管理标准（ISO/IEC 27005），是常用的行业标准。其中，NIST SP 800-30/37、ISO/IEC 27005和OCTAVE是特定于IT的网络安全风险模型。此类高级别框架或标准定义了结构化方法或指南，说明如何评估风险，同时作为度量框架显示严重缺陷。由于对度量的关注不够，这些框架主要侧重于使用为信息安全领域定义的分类法进行审计，但它们缺少特定风险度量和计算风险的自动方法的详细信息[7]。

在我们的研究中，我们为IT系统定义了一种以度量为中心的风险评估方法，以克服高级别风险框架和方法的缺陷。IT系统的风险在两个一般类别中定量表示；基于基本图和攻击图。分析方法以资产和漏洞为中心。系统中的漏洞由常见漏洞和暴露（CVE）ID定义。

对于风险评估，我们使用通用脆弱性评分系统（CVSS）[8]。由于CVSS侧重于对单个CVE进行评分，因此它使用了一种与我们的方法不同的公式化和规范化方法。因此，不直接使用CVSS分数。我们从一般风险公式（风险=概率*影响）推导出风险公式，并生成不同的风险观点。尽可能地保留语义，我们利用CVSS度量，并在需要时为它们分配新的数值。此外，我们还提出了新的低级别度量，并在低级别度量的基础上定义了高级别风险度量。

论文的其余部分组织如下。第2节回顾了背景信息。第3节定义了我们的风险评估方法，并解释了低级别风险指标。第4节介绍了我们建议的高风险指标。第5节回顾了相关工作，第6节总结了本文和未来的工作。

2. 背景

为了评估系统的风险，首先需要定义度量标准。然而，在IT领域，安全指标相对不成熟，与运营管理等其他领域相比，还远远不够全面[9]。因此，肯定需要为信息系统定义特定的新指标。然而，为了有用，一个好的度量应该是可重复的（一致测量），收集成本低，特定于上下文，并且有一个度量单位[7]。

在将度量定义为风险评估的度量单位之后，另一个里程碑是漏洞的描述和识别。为此，作为唯一标识符，CVE通常用于网络安全漏洞。为了传达几乎所有这些CVE的特征、影响和风险，使用名为CVSS的开放框架是一种常见做法[8]。通过公共脆弱性数据库共享已知漏洞的风险分数和基础度量，CVSS为开发和测量网络安全度量提供了基础（10）。因为，目前CVSS3.0[11]的CVE数据库不如CVSS2.0完整，所以在我们的工作中，我们使用CVSS2.0度量。然而，我们的工作可以很容易地适应3.0版本。

对于单个漏洞，CVSS提供了一种计算方法，该方法包括三类有序类型度量（即。E基础、时间和环境）并给出每个类别的风险分数。基本度量是漏洞的固有特征，而时间度量是由于漏洞外部事件而随时间变化的度量。另一方面，环境度量是与特定用户环境相关且唯一的自定义度量。本工作中使用的CVSS2.0指标如表I所示。有关CVSS2.0指标的更多信息，请参阅[8]。

3.  我们的风险评估方法

我们将风险评估方法分为四个步骤[1]：

• 评估方法（定量、定性），
• 分析方法（威胁导向、资产/影响导向或脆弱性导向），
• 明确的风险模型，
• 风险评估过程。

A.风险评估方法

风险评估可以定量或定性进行。定量风险评估需要风险因素的货币或数字值，而定性方法采用非数字优先级或临界值。由于三个原因，我们在模型中采用了定量方法。首先，由于CVS是一种定量方法，因此CVS的基础度量具有分配给它们的数值。其次，在定量方法中，评估和结果基于客观标准，因此更适合于IT系统风险评估。最后，定量方法更适合根据三个常见的安全支柱（机密性、完整性和可用性）衡量IT系统的安全级别[3]。

B分析方法

关于分析方法，评估可以以面向威胁/攻击者、面向资产/影响或面向漏洞/体系结构的方式进行。每种分析方法都考虑到相同的风险因素。每种方法的不同之处在于所考虑因素的顺序，因此每种方法中对不同因素的重视程度会发生变化，从而导致评估结果出现偏差[1]。

以漏洞/体系结构为中心的模型侧重于系统设计或针对每个组件/漏洞的漏洞和攻击。以资产/影响为中心的模型通过考虑威胁源的动机和能力来确定资产价值和对资产的影响。以威胁/攻击者为中心的模型通过识别攻击者并关注攻击者目标和评估风险的技术，更加强调攻击源的属性。

在三种类型的风险分析模型中，我们的工作适用于以资产和漏洞为中心的模型，原因有二。首先，以威胁为中心的模型需要威胁智能，以便专门识别攻击者，这超出了我们的工作范围。其次，通过定义大量高级度量，我们量化了单个资产的风险和资产上的漏洞，从而满足了以资产和漏洞为中心的模型的考虑。

C风险评估模型

在本节中，对风险评估模型的语义进行了一般性定义。以下各节给出了每个部件的详细说明和计算公式。我们定义了两种不同的风险评估模型；一个用于基本风险评估，另一个用于基于攻击图的风险评估，如图1和图2所示。

 

 

 基本风险评估模型由四个部分组成；资产、漏洞、可能性和影响（攻击者是未知来源，没有已知参数）。出于这个原因，图1中的威胁源用虚线框表示）。

基于附加图的风险评估模型由六个组件组成，在第一个模型中增加了两个额外组件，即威胁源和攻击路径。基于攻击图的模型与基本模型不同，主要是因为概率的计算不仅使用CVE的CVSS度量，还考虑了威胁源的能力和攻击路径。因此，基于攻击图的风险评估使我们能够量化单个或多个攻击路径和/或攻击源的风险。

IT系统中风险的基本有形要素可以列举为资产、漏洞和威胁。在我们的模型中，资产是可能存在软件相关漏洞的任何计算机或网络设备（物理或虚拟）。我们还将术语产品定义为可能存在任何漏洞的软件。

资产上可能有一个或多个产品。由于两个原因，根据CIA的要求，资产评估分为低、中、高三个级别。首先，信息或信息系统的机密性、完整性或可用性的丧失会导致信息安全风险[1]。其次，FIPS 199根据CIA的资产标准将信息分类为低、中或高安全性[12]。

系统中的漏洞是指NVD漏洞数据库中定义的具有特定CVE ID的漏洞。通过使用漏洞检测工具（如OPENVAS、Nessus等）扫描系统，可以生成给定系统中的相关漏洞列表。此外，对于基于攻击图的模型，可以过滤出系统中的漏洞，以确定哪些漏洞不适用且无法被利用，考虑到对驻留在攻击路径上的IDS/IP等工具的保护。因此，在风险计算中忽略标记为受保护的漏洞。

漏洞被利用的概率由从漏洞、威胁源和攻击路径的基础度量中派生的低级度量确定。在基本模型中，假设与开发CVE相对应的概率是独立的，因此当一项资产上存在多个CVE开发时，单个CVE的概率计算不受影响。然而，基于攻击图的模型考虑了先前CVE在攻击路径上的概率，以计算CVE被利用的概率。

如果成功利用CVE，影响被定义为资产的机密性、完整性和可用性（CIA）损失。根据资产的CIA要求以及资产上存在的漏洞的CIA影响计算影响。模型中的威胁源定义为攻击者，攻击者可能是来自互联网的黑客，也可能是来自正在评估的网络内特定位置的恶意用户。在基于攻击图的模型中，威胁源由能力和动机两个参数表示。

威胁源的能力是衡量威胁源利用已知漏洞的能力。另一方面，动机表明攻击者通过利用漏洞捕获目标的意愿和决心。

攻击路径或攻击图显示了多个漏洞如何组合在一起进行攻击。在我们的方法中，攻击图是资产上的许多漏洞，每个漏洞之间都有定向连接，描述了无周期的攻击顺序。攻击图上的漏洞利用显示为状态之间的转换[13]。生成攻击图超出了我们的工作范围（攻击图可以按照早期研究 比如,[13] ）图3示出了示例攻击图模型。

 D风险评估过程

在这种情况下进行风险评估并定义相关指标的顺序如下：（1）识别威胁源，（2）识别漏洞，（3）确定发生的可能性，（4）确定影响程度，以及（5）确定风险。

在我们的模型中，威胁源是在攻击图上定义的，带有它们的位置、能力和动机参数。如前所述，可以使用漏洞扫描工具在资产上发现漏洞。对于发生概率，可根据风险评估模型通过两种方式确定。

对于基本风险评估，我们在概率计算中不考虑威胁源的属性。我们假设威胁源利用CVE，其概率根据下文解释的CVE的基础CVSS度量计算得出。概率计算公式如（1）所示，所采用的度量以及指定的数值如表II所示。

 

下表中所示的风险度量数值是根据可用证据、经验和专家判断（利用CVSS 2.0[8]数值度量值）分配的，可以根据可能不同的判断和经验进行修改。

 对于基于攻击图的风险评估，访问向量（AV）度量的语义已经包含在攻击图中，该攻击图用作我们的风险评估模型的输入。因此，在概率计算中不直接使用V度量。概率计算采用了与威胁源相关的两个新指标：威胁动机和威胁能力。

一个新的度量，用户检测（UD），定义了由于资产上的利用副作用而被用户识别的利用的概率。该指标根据CVE的完整性和可用性影响计算得出，并可从基础CVSS指标得出。CVE攻击的机密性影响被忽略，因为用户通常无法检测到。UD度量的计算如图4所示。

 最后，添加攻击图作为风险评估的一个因素。关于这一因素，我们的假设是，已生成从威胁源到目标资产的攻击图，并提供给我们进行进一步处理。

对于基于攻击图的风险评估，对于资产上的每个CVE，首先计算不考虑攻击图的临时概率。这些临时概率有两种类型；一个包含UD参数，另一个忽略它。带有UD参数的临时概率用于计算攻击图中的领先概率。基于威胁的风险评估的中期概率计算见（2）和（3）。表III和图5描述了采用的相关指标。

 

 

 如果攻击者可以直接利用资产上的CVE进行攻击，则上述基于攻击图的临时概率可用作攻击者的概率。然而，如果需要首先利用攻击图上的多个CVE来利用CVE，则还需要根据攻击图将领先CVE的概率纳入计算中。因此，基于攻击图的CVE概率可定义为（4）中的公式。

 攻击图上的领先概率通过使用每个CVEs过渡概率和UD度量的交集和并集公式的组合来计算。

如图6所示，如果只有在攻击图中也利用了先前的CVE的情况下才能利用特定的CVE，则通过将每个CVE概率相乘来计算超前概率。如果我们用Pi表示UD度量的临时概率，那么基于攻击图的CV e3概率可以如（5）和（6）中所示（对于图6中的示例，i=2）。

 

 如图7所示，如果攻击图具有通向CVE的平行（可选）路径，则通过概率并集函数计算领先概率。如果我们用Pi表示UD度量的临时概率，那么基于攻击图的CV e3概率可以如（7）和（8）所示（对于图7中的示例，i＝2）。

 对于这两类风险评估，为了计算CVE对资产的影响，首先我们通过乘以资产的CIA要求和漏洞的CIA影响来计算非中介影响分数。然后，通过影响分数的平均值乘以补救水平来计算最终影响。冲击值的范围在（0到100）的范围内。影响计算公式见（9）、（10）、（11）和（12）。表IV中描述了从基础CVSS指标衍生的采用指标。

 

 

 最后，风险定义为威胁事件发生的可能性和事件发生时的潜在影响的乘积，如（13）所述。

 四,高级别风险度量的定义

在本节中，我们定义了高级别度量，以评估五类视图中的系统风险：CVE、资产、产品、威胁源和攻击路径。当只有一种单一的风险观时，组织可能会在风险管理方面失败。高级别的度量对于获取风险状况的不同视图非常有用。在这些高级别风险指标中，资产的CVE风险是其余指标的起点。高级别风险度量通过两种方式得出：

• 原始方法（如简单总结或取最大值），
• 独立事件的概率聚合。

涉及其他指标总和的衍生指标的范围为（0至∞). 对于其余的度量，值的范围在（0到100）的范围内。

A.CVE风险度量

1）资产的CVE风险：该度量显示特定资产的CVE风险。资产CVE的基本风险可以简单地按照（14）、（15）和（16）中所述进行计算。

 虽然资产上的CVE只有一个基本风险，但需要为每个威胁源计算基于攻击图的资产上的CVE风险。（17）、（18）和（19）中描述了根据攻击图计算每个威胁源的资产CVE风险。

 对于多个攻击源可能同时利用同一CVE的情况，还可以计算资产上CVE的风险。在这种情况下，由于利用了资产上相同的CVE，因此利用CVE对该资产上所有威胁源的影响是相同的。然而，每个威胁源利用同一CVE的概率可能不同。如果我们用Pi表示这些概率，则每个威胁源施加的风险可以按照（20）和（21）中的公式进行聚合。

 2） 系统CVE的总风险：系统CVE的总风险是系统中每项资产CVE风险的总和。虽然定义为系统级度量，但它也可以应用于一组资产。对于基于攻击图的模型，每个威胁源可能有多个基于攻击图的风险值。在这种情况下，如（20）和（21）所述，多个威胁源的CVE总风险用于总结。

3） 系统CVE的最高风险：系统CVE的最高风险是CVE在所有资产中造成的最高风险。

4） 资产的最高机密性、完整性和可用性风险：除了显示每个CVE的风险外，我们建议识别CVE对资产施加的最高CIA风险也可能有用。对该指标的需要源于这样一个事实，即当使用所有三个因素计算影响时，对CIA因素之一的影响可能会被其他两个因素所抑制。

B 资产和系统风险度量

资产是可能存在软件相关漏洞的任何计算机或网络设备。资产可以通过多种方式进行分组（例如：根据子网、地理位置或业务功能）。

1） 资产总风险：资产总风险是指存在于给定资产上的每个CVE的风险总和。对于基于攻击图的模型，使用（20）和（21）中所述的多个威胁源的CVE聚合风险进行总结。

2） 资产的综合风险：在计算资产的总风险时，我们没有设定最大影响值。因此，如果存在对应于多个CVE的多个概率，则如果通过简单地将每个风险相加来计算总风险，则资产的总风险可能高于该资产的实际价值。

在本节中，我们将定义一个更详细的公式，以利用资产具有预定义的最大损失值这一事实。因此，总风险不应超过该最大值。我们首先注意到，在不丧失一般性的情况下，以下程序可适用于保密性、完整性和可用性风险，并可在最后计算这些风险的平均值。为了更好的可读性，我们省略了风险的下标。

我们假设有限数量的可利用CVE具有适用于资产的非零概率。我们将样本空间定义为所有可能结果的集合。作为一个例子，考虑我们有两个可利用的CVS，我们将它们命名为和。因此，样本空间有四个元素：。当CVE未在样本空间的特定元素中被利用时，我们使用术语not。基于样本空间概念的新观点，我们可以定义计算合并风险的公式，如算法1所示。

 

在算法1中，使用（22）计算每个元素的概率。每个元素对应于一个结果，在该结果中，CVE的一个子集被利用（表示为ES），而CVE的一个互补子集未被利用（表示为NES）。

在算法1中，通过选择资产预定义最大值（）或已开发CVE影响总和中的最小值，计算每个元素的影响，如（23）所述。因此，样本空间中每个元素的影响由值（可从表IV中导出）确定上限。

示例：我们提供了一个玩具示例来说明如何计算资产的合并风险，以及它与资产的总风险有何不同。

假设给定资产上只有两个漏洞，和。概率和影响值如下：，，，。进一步假设影响=100。

如果我们使用公式计算资产的总风险，我们发现它的值为123。这个值超过了。

对于合并风险，首先我们使用（22）计算概率值：

其次，我们使用（23）计算影响值：

最后，如果我们假设RL=0，资产的综合风险（CR）可以使用算法1进行计算，如下所示：

CR=0.72∗100+0.08∗75+0.18∗70+0.02∗0=90.6

如图所示，本例中的合并风险值小于最大值100，因此比总风险的计算值更有意义。可以从数学上证明，合并风险永远不会大于。由于篇幅的限制，我们把校样留给读者。 

到目前为止，给出的描述是针对基本风险的。然而，它也可以用于基于攻击图的模型。对于该任务，首先计算基于攻击图的多威胁源CVE概率。然后，应用（20）和（21）中的公式计算资产的合并风险。

3） 资产组或系统的最高风险：资产组的最高风险是风险最高的资产组中资产的合并风险。该指标也可用于系统级。

4） 资产组或系统的总风险：资产组或系统的总风险是资产组或系统中所有资产的合并风险之和。该指标也可用于系统级。

C 产品风险度量

在我们的工作中，产品被定义为可能存在任何漏洞的软件。产品可以以任何有意义的方式组合在一起（例如。G根据供应商或功能）形成产品组。

1） 资产上的产品风险：该指标通过汇总与产品相关的资产上的CVE风险来计算。相关CVE风险的概率聚集如（14）、（15）、（16）、（17）、（18）和（19）所述。请注意，CVE可能与多个产品相关。因此，只有当产品存在于资产上时，才考虑与产品相关的CVE。对于基于攻击图的模型，使用（20）和（21）中所述的多个威胁源的CVE聚合风险进行总结。

2） 产品的最高风险：产品的最高风险是每项资产上产品的最高风险。

3） 产品总风险：产品总风险是每项资产的CVE风险总和。

4） 产品组的最高风险：该指标是给定产品组中所有产品的最高风险。

5） 产品组总风险：该指标是给定产品组中产品总风险的总和。

 D 威胁源风险度量

1）威胁源总风险：威胁源风险是该威胁源可利用的资产上所有CVE基于攻击图的风险的总和。

2） 威胁源组的总风险：威胁源组的风险是（20）和（21）中所述的多个威胁源的CVE总风险的总和。

E 攻击路径风险度量

攻击路径可以描述为从攻击源到目标的独立攻击场景，可以从攻击图中导出[14]。攻击路径的总风险可以通过基于攻击图的风险总和来计算，该风险图基于威胁源在给定攻击中利用的每个CVE的风险。

为了完成本节，我们认为，鉴于网络风险比以往任何时候都更加复杂，所提供的高级别风险度量的广泛列表能够为IT系统提供更好的决策。

v相关工作

如前所述，ISO 27005和NIST SP 800-30等行业标准是风险评估的高级框架，重点是审计。他们对测量缺乏足够的重视。因此，它们作为度量框架存在严重缺陷[7]。为了满足面向度量的框架的需求，开发了ISO 27004：信息安全管理度量。然而，它侧重于测量过程的机制，缺乏关于在哪种情况下使用哪种度量的指导[9]。

另一个行业标准可能被视为IT系统中度量框架需求的灵丹妙药，即基于漏洞的开放风险评估框架；CVSS[8]。CVSS在将CVE的通用度量分为三组（基本、时间和环境）时非常有用。然而，它主要有两个缺陷。首先，CVS评估单个CVE的风险，并且没有解释如何评估系统组件（如资产、资产组、产品等）的风险。其次，它忽略了风险计算的攻击源和攻击路径。另一方面，我们的模型不仅涉及系统的基本风险，而且还展示了基于攻击图的风险。我们还对给定IT系统中的资产、产品、攻击源和攻击路径上的单个CVE和一系列CVE进行风险度量。

Hubbard和Seiersen[4]主张定义一组可量化的标准安全指标，然后持续使用这些指标以确保改进。然而，他们的工作旨在作为建立网络安全风险管理的路线图，并未定义或提出IT系统的特定网络安全风险评估方法，这是我们工作的重点。

Pendleton等人[15]基于攻防交互系统地探索安全度量，并提出以下维度来分类系统安全度量：（1）系统漏洞度量，（2）防御能力度量，（3）攻击或威胁严重性度量，以及（4）情况度量。然而，由于专注于度量，他们的工作并未讨论特定的风险评估方法。

Cheng等人[10]试图通过两种主要方式改进网络风险度量CVSS分数的汇总。首先，使用基本分数，他们建议使用定义良好的语义生成依赖关系。其次，他们通过将基础分数的基本度量（访问向量、身份验证、访问复杂性）聚合到三个类别（概率、时间和精力、技能）中来扩大CVSS标准的范围，以保留度量的初始语义。我们的工作在两个方面不同于他们的工作：首先，我们坚持公认的风险公式，并相应地将度量定义为两种主要类型：概率和影响。其次，除了基本度量之外，我们还受益于时态CVSS度量。

Singhal和Ou[13]提出了一种使用CVSS分数和概率攻击图的风险评估模型和方法。在假设攻击图是给定的情况下，我们通过采用额外的低级别度量和更详细的讨论以及高级别度量的公式，提出了一种比他们的工作更全面的方法。

Alhomidi和Reed[14]专注于使用遗传算法寻找风险最高的最小攻击树。他们的工作没有定义风险度量和公式。由于我们的工作重点是开发网络安全风险评估方法，因此我们不对攻击图的早期工作进行广泛讨论。相反，我们让感兴趣的读者参考最近的工作[16]和综合调查[17][18]。

有一些商业工具使用CVSS分数进行网络安全风险评估。GSkybox[19]。Skybox同样以两种方式显示网络风险：（1）系统上CVE的基础CVSS分数(2） 基于攻击图的系统风险分析。然而，由于是专有的，他们的风险评估方法中的许多细节是无法获得的。与Skybox不同，Skybox似乎使用CVSS分数作为黑盒输入，我们受益于CVSS的基本指标，将它们与其他新的低级别指标结合起来。然后，我们在低级别度量的基础上定义和制定高级别风险度量。

 六、 结论和未来工作

在这项工作中，我们为IT系统提出了一种以资产和漏洞为中心的定量网络安全风险评估方法。我们定义了低风险和高风险指标，并给出了计算和汇总公式。我们使用了CVSS的底层指标，并提出了额外的低级指标。我们提出并讨论了高层次的指标，以便对风险状况的不同观点有助于更好的决策。我们在一个示例系统上演示了我们的方法的适用性，该系统的计算是由Java语言开发的概念验证程序进行的。该开源软件及其产生的结果可在[20]中找到。

对于未来的工作，我们的目标是在许多方面改进我们的模型。首先，可以对CVE对资产的影响的依赖性进行建模，以改进这项工作。依赖项定义了CVE的利用如何影响系统中的其他资产。一个简单的例子是DNS服务器不可用会对其他资产造成可用性影响。其次，在我们的工作中，我们假设系统中的所有漏洞都是已知的。作为未来的工作，我们的风险评估方法可以通过解决零日攻击造成的威胁来扩展。最后，随着CVSS3.0数据库的完善，我们可以将我们的工作调整到CVSS3.0。