预测未来 - 微软推出"可利用性指数"
作者:Mike Reavey
职位:MSRC总监
发布日期:2008年8月5日
大家好,我是Mike Reavey。我在微软安全响应中心(MSRC)工作已有五年多,从事安全领域超过十年。我热爱这份工作的原因之一是它始终在变化,充满挑战。
然而,安全生态系统在某些方面是非常可预测的。例如,每次Black Hat会议上都会看到大量显示安全形势严峻的图表;每月第二个星期二我们发布安全更新后,总有人逆向工程我们的更新并创建漏洞利用代码。因此,客户经常询问我们每月修复的漏洞中哪些已公开利用代码,这是他们风险评估的关键因素。
通过分析,我们发现每年修复的漏洞中约30%会公开利用代码(详情参见SIR报告 www.microsoft.com/sir)。原因多样:有些漏洞对攻击者或渗透测试者缺乏吸引力,有些影响渗透率低的产品,还有些因漏洞表现形式而难以利用(如深度防御措施导致利用不稳定,/GS保护导致进程崩溃,或系统内存结构不可靠等)。
今天,我们宣布推出"可利用性指数"。该指数旨在为客户提供更多信息,帮助优先部署微软安全更新。它将评估漏洞是否可能发布功能完整的利用代码,或发布不一致的利用代码(攻击者无法每次成功利用),甚至标注那些我们认为不太可能发布有效利用代码的漏洞。
评估方法包括:
- 与安全漏洞研究与防御(SVRD)团队合作分析漏洞利用条件;
- 采用社区多年使用的方法论(如Halvar Flake和Lurene Greenier在BlueHat会议分享的技术);
- 邀请微软主动保护计划(MAPP)成员每月审核漏洞验证评估结果。
总之,我们为客户提供更多信息以辅助风险评估,这符合安全生态系统向协作发展的趋势。更多讨论请关注我的Twitter:www.twitter.com/mreavey。
本文内容"按原样"提供,不提供任何担保,也不授予任何权利。