自动推理在设计中用于漏洞管理-计算机科学-漏洞评估-威胁建模-设计安全.pdf

自动推理在设计中用于漏洞管理

AviShakedandNanMesse

DepartmentofComputerScience,UniversityofOxford,Oxford,OX13QD,UK

avishakedse@

IRIT,CNRS,UT2,France

nan.messe@irit.fr

摘要为了确保系统的安全，管理其脆弱性态势并设计适当的安全控制是

本至关重要的。脆弱性管理通过将相关安全控制整合到系统的设计中，可以

译主动应对脆弱性。当前的脆弱性管理方法不支持对系统设计的脆弱性态势

中进行系统的推理。为了有效管理和设计安全控制，我们提出了一种形式化

的自动化推理机制。我们将该机制集成到一个开源的安全设计工具中，并

1通过一个由现实世界挑战驱动的示例来展示其应用。自动化推理机制使系

v

4统设计师能够识别适用于特定系统设计的漏洞，明确指定脆弱性缓解选项，

9声明选定的控制措施，从而系统地管理脆弱性态势。

7

5

0Keywords:漏洞评估·威胁建模·安全开发生命周期·设计安全。

.

7

0

51介绍

2

:

v

i系统中的漏洞可能被恶意行为者利用，是网络安全攻击的主要、促成因

x

r素[11]。因此，漏洞管理是安全系统开发和运行的关键方面。建立系统的漏洞

a

态势涉及识别漏洞并将漏洞与系统组件关联，并识别通过使用安全控制来缓

解这些漏洞的潜力。维护漏洞态势涉及定期更新相关的漏洞和缓解措施，以

与设计决策和动态威胁形势保持一致（例如，新披露的、影响系统的漏洞）。

建立和维护漏洞态势允许相关利益干系人（例如，设计人员、风险管理者和

高管）主动识别、理解和缓解潜在风险，从而提高系统的可信度[8,12,15,25]。

一般来说，漏洞管理可能与特定系统组件实现中发现的漏洞有关，我们

将其称为实现漏洞；也与概念类别的漏洞（即，漏洞类型）有关，我们将其

称为机制漏洞。在机制层面缓解漏洞，而不是单独缓解实现中的漏洞，是一

种理想的以设计为安全的漏洞管理方法，因为它解决了潜在安全问题的根本

原因，并防止了现有的以及潜在的各种漏洞和威胁[1,4]。

2Shakedetal.

MITRE——全球系统工程和网络安全领域的领导者——提供的标准安

全分类将不同抽象层次上的机制漏洞称为弱点，而将实现漏洞简单地称为漏

3

洞。通用弱点枚举（CWE）是一个弱点的层级组织结构，而通用漏洞和暴

4

露（CVE）则列出了实现漏洞。实现漏洞可以表现为弱点[3,7]。本文中，

我们使用漏洞作为一个统一术语来表示机制问题或实现问题中的任何一个，

除非另有说明。

传统漏洞管理方法主要集中在系统开发后识别和处理的实现漏洞上。这

种反应性方法通常针对个别实现漏洞，但未能解决其潜在机制——这些机制

可能导致未来出现新的