Catch Me If You Can: An In-Depth Study of CVE Discovery Time and Inconsistencies for Managing Risks in Critical Infrastructures

深入研究在关键基础设施中的关于CVE发现时间和不一致性的管理风险

 

一、摘要

　　工业控制系统（ICS）是石油和天然气、水处理、发电和运输系统等关键国家基础设施(CNI)运作的核心。有效的风险管理以减轻对社会和经济的大规模破坏，既取决于关于漏洞的及时信息，也取决于这种信息的一致性。漏洞“未被发现”或漏洞报告缺乏一致性的时间越长，对CNI操作人员系统理解和降低风险的能力的影响就越大。

　　在本文中，我们重点关注在占据市场份额最大的西门子ICS设备中识别和报告的漏洞。我们对207个CVE进行了深入分析，确定了漏洞在被发现和发布警告之前“处于危险状态”的时间，并检查了CVE信息的正确性。　　　　　　

　　我们发现，平均而言，一个漏洞“未被发现”的时间为5.3年，而且许多cve没有正确地反映并将受影响的设备描述为通用平台枚举(cpe)。基于我们的发现，我们提出了一套指导方针，以改善ICS的CVE信息的报告及时性和一致性。

 

二、本文贡献

1. 对西门子ICS的第一项重要研究

2. 在CVE发布之前，分析漏洞”在野外“存在的时间

3. 详细审查了CVE的准确性，以及这将如何影响在资产和基础设施上的风险管理

4. 制定指南，减少漏洞暴露的敞口，提高ICS漏洞报告的准确性

 

三、文章结论

　　在本文中，我们发现，与传统的IT漏洞形成鲜明的对比的是，漏洞”在野外"的时间跨度有很大的变化，平均为5.3年，这样的延迟可能会产生严重的安全影响。此外，CVE所描述的受影响的设备可能是并不准确的，一些存在显著差异，15.5%的西门子CVE在CPE列表中被严重低估了受影响的设备。这两个问题严重影响了信息的准确性和有效性，资产所有者的目标是了解和减轻基础设施风险，并可能产生严重的后果。通过改进ICS漏洞信息，资产所有者和供应链在定义其风险管理策略时将得到更好的信息。这反过来又要求更好地支持第三方漏洞研究、进一步地测试验证、对供应链进行更多的控制，以有助于CVE信息减少这个暴露窗口的信息，并在总体上提高CVE捕获的信息的质量。