تصحيح ثغرات اليوم الصفري: تحليل تجريبي

2025_07_23_08c74dac463aebd7bea6g

تصحيح ثغرات اليوم الصفري: تحليل تجريبي

يمان رومانى*قسم علوم القرار والمعلومات، جامعة أوكلاند، 275 شارع فارنر، روتشستر، ميشيغان 48309، الولايات المتحدة الأمريكية*عنوان المراسلة. قسم علوم القرار والمعلومات، جامعة أوكلاند، 275 شارع فارنر، روتشستر، ميشيغان 48309، الولايات المتحدة الأمريكية. الهاتف: +(248)-370-2717؛ البريد الإلكتروني: yamanroumani@oakland.edu

استلم في 16 أبريل 2021؛ تم تنقيحه في 1 سبتمبر 2021؛ تم قبوله في 11 نوفمبر 2021

الملخص

تظل ثغرات اليوم الصفري واحدة من التهديدات الأمنية الرئيسية التي تواجهها المؤسسات. بمجرد أن يتعلم البائع عن ثغرة يوم صفري، يصبح إصدار تصحيح في الوقت المناسب أولوية نظرًا لخطر استغلالات اليوم الصفري. ومع ذلك، لا نزال نفتقر إلى المعلومات حول العوامل التي تؤثر على وقت إصدار التصحيح لمثل هذه الثغرات. الهدف الرئيسي من هذه الدراسة هو فحص تأثير عوامل أخرى لم يتم استكشافها بعد على وقت إصدار التصحيح لثغرات اليوم الصفري. باستخدام مجموعة بيانات ثغرات اليوم الصفري التي تم جمعها بين عامي 2010 و2020، نستخدم تقنية تحليل البقاء. يستكشف نموذجنا تأثير متجه هجوم الثغرة، وتعقيد الهجوم، والامتيازات المطلوبة، وتفاعل المستخدم، والنطاق، والسرية، والنزاهة، وتأثير التوافر على توقيت إصدار التصحيح. تظهر النتائج أن ثغرة اليوم الصفري من المرجح أن يتم تصحيحها في الوقت المحدد إذا كانت الثغرة تؤدي إلى تغيير في النطاق وتؤثر على المزيد من البائعين والمنتجات والإصدارات. ومع ذلك، من غير المرجح أن يتم تصحيح ثغرة اليوم الصفري في الوقت المحدد إذا كانت تتطلب امتيازات وتؤثر على السرية. تكشف تحليلاتنا الفرعية أيضًا كيف يختلف وقت إصدار التصحيحات عبر منتجات وأنواع ثغرات مختلفة.

الكلمات الرئيسية: ثغرة يوم الصفر، وقت إصدار التصحيح، تحليل البقاء، الثغرة، السمات

مقدمة

لا يزال تهديد ثغرات البرمجيات كبيرًا، خاصة بالنسبة للشركات التي تعتمد على التطبيقات الحيوية وتتعامل مع معلومات حساسة. وفقًا لقاعدة بيانات الثغرات الوطنية (NVD)، فإن عدد الثغرات المبلغ عنها في عام 2017 و2018 و2019 قد تضاعف أكثر من مرتين، ليصل إلى أعلى مستوى تاريخي. غالبًا ما تكون ثغرات البرمجيات نتيجة لخلل أو عيب برمجي أو خطأ بشري أو ضعف يعرض النظام المتأثر للخطر. بمجرد أن يكتشف بائع التكنولوجيا ثغرة، يعمل على إصدار تصحيح أمني قبل الكشف العام. ومع ذلك، إذا فشل البائع في إصدار تصحيح في الوقت المناسب، قد يستغل القراصنة الثغرة الأمنية ويكشفون عنها علنًا.
تشير ثغرة يوم الصفر إلى ثغرة تم اكتشافها حديثًا وغير معروفة للبائع المتأثر وليس لديها تصحيح أمني. بمجرد أن يتعلم البائع عن ثغرة يوم الصفر، يصبح إصدار إصلاح في الوقت المناسب أمرًا حيويًا نظرًا لخطر استغلالات يوم الصفر. ومع ذلك، إذا تم الكشف عن ثغرة يوم الصفر للجمهور، فإنها…
يزداد خطر الاستغلال حيث من المحتمل أن يستخدمه المهاجمون لمهاجمة الأنظمة الضعيفة. بعبارة أخرى، فإن التأخير في إصدار التصحيحات للثغرات من نوع “زيرو داي” يعني مخاطر أعلى لاستغلال هذه الثغرات. على سبيل المثال، في أبريل 2012، تم الإبلاغ عن ثغرتين من نوع “زيرو داي” مرتبطتين بجافا إلى شركة أوراكل؛ ومع ذلك، بحلول الوقت الذي أصدرت فيه أوراكل تصحيحها المجدول، كان قد فات الأوان بالفعل وتم استغلال الثغرتين. وبالمثل، تم الإبلاغ عن ثغرة من نوع “زيرو داي” في برنامج مايكروسوفت وورد إلى شركة مايكروسوفت. ومع ذلك، بسبب التأخير في إصدار تصحيح أمني، تم استغلال الثغرة من قبل مجرمي الإنترنت، مما أدى إلى هجمات مالية وسياسية عرضت ملايين الضحايا المحتملين للخطر. لذلك، في هذه الدراسة، نجادل بأن فهم العوامل التي تؤثر إيجابًا وسلبًا على وقت إصدار التصحيحات أمر بالغ الأهمية لموردي تكنولوجيا المعلومات الذين يواجهون تحدي تأمين منتجاتهم.
على الرغم من أن الأدبيات الموجودة حول تصحيح الثغرات ومخاطر الاستغلال قد درست تأثير مجموعة متنوعة من العوامل على وقت إصدار التصحيحات (انظر على سبيل المثال [2، 7-16])، إلا أن هذه الدراسات لديها مجموعة متنوعة من
القيود. أولاً، ركزت الدراسات الحالية بشكل أساسي على الثغرات المعروفة دون أخذ تهديدات ثغرات اليوم صفر في الاعتبار. ثانياً، حسب علمنا، لم تبحث الأبحاث السابقة في كيفية تأثير خصائص الثغرات وأنواع المنتجات المتأثرة وأنواع الثغرات على وقت إصدار التصحيحات. على وجه التحديد، لا تُبلغ الأعمال الحالية عن أي ثغرة من ثغرات اليوم صفر من المرجح أن يتم تصحيحها في الوقت المحدد وكيف تساهم عوامل الثغرة في تسريع أو إبطاء أوقات الإصدار. ثالثاً، قامت الدراسات السابقة بتحليل البيانات على مدى فترة زمنية قصيرة قد تكون غير كافية لفهم ما وكيف يؤثر وقت إصدار التصحيحات بشكل كامل. أخيراً، لم تبحث الدراسات السابقة في الجدول الزمني لتصحيح ثغرات اليوم صفر قبل إصدارها للجمهور.
لسد هذه الفجوة، هدفنا الرئيسي هو دراسة تأثير عوامل أخرى لم يتم استكشافها بعد على وقت إصدار التصحيحات لثغرات اليوم صفر. على وجه التحديد، الأهداف الرئيسية لهذه الدراسة هي (i) تقدير تجريبي لكيفية تأثير العوامل المتعلقة بالثغرات على وقت إصدار التصحيحات لثغرات اليوم صفر باستخدام تحليل البقاء، (ii) استخدام مُقدّر كابلان-ماير (K-M) لتحديد كيفية اختلاف وقت إصدار التصحيحات بين المنتجات المتأثرة وأنواع الثغرات، و(iii) تقييم قوة النتائج. بدقة أكبر، نقوم بجمع بيانات عن 4897 ثغرة من ثغرات اليوم صفر بين عامي 2010 و2020 باستخدام مصدرين: قاعدة بيانات الثغرات الوطنية (NVD) ومبادرة ثغرات اليوم صفر (ZDI). ثم نقوم بتطبيق نموذج انحدار كوكس، وإجراء تحليلات فرعية باستخدام تقنية K-M، وأداء تحليل القوة.
توسع هذه الدراسة الأبحاث السابقة حول تصحيح الثغرات ومخاطر الاستغلال. على وجه الخصوص، نقوم بتوسيع الأبحاث السابقة [16] من خلال التركيز على الجدول الزمني لاستغلالات اليوم الصفري قبل أن يتم إصدارها للجمهور؛ وبالتالي، تقدم أبحاثنا معلومات جديدة حول تخفيف المخاطر المتعلقة بالثغرات القابلة للاستغلال في مرحلة مبكرة. بالإضافة إلى ذلك، تجيب دراستنا على الدعوة التي وجهها أرورا وآخرون [2] لفحص تأثير العوامل غير المستكشفة على إصدار التصحيحات. تقدم نتائج هذا البحث أيضًا رؤى حول العوامل التي تؤثر على إصدار التصحيحات في الوقت المناسب، مما يعالج قيود الأعمال السابقة. علاوة على ذلك، يجب أن تكون نتائج هذه الدراسة ذات أهمية عملية لموردي التكنولوجيا في معالجة الثغرات من نوع اليوم الصفري بشكل أكثر كفاءة وإصدار تصحيحات أمنية في الوقت المناسب. علاوة على ذلك، فإن التحقيق في وقت إصدار التصحيحات يقدم رؤى جديدة لمديري أمن المعلومات والفرق الأمنية التي تكافح في تخصيص موارد الشركة وتحديد أولويات التصحيحات للثغرات من نوع اليوم الصفري. أخيرًا، مع ظهور ثغرات جديدة من نوع اليوم الصفري، يمكن استخدام نموذجنا لإعادة تحليل المعلومات الجديدة، وتقديم رؤى إضافية، وزيادة الدقة.
تتقدم هذه الدراسة على النحو التالي. يوفر القسم الثاني خلفية بحثية ذات صلة وأعمال مرتبطة. في القسم الثالث، نقدم المنهجية وبيانات البحث، تليه القسم الرابع الذي يناقش نتائجنا التجريبية والتحليلات الفرعية. يلخص القسم الخامس نتائج بحثنا ويناقش الآثار، تليه القسم السادس الذي يصف التهديدات لصحة النتائج. تختتم الورقة بالقسم السابع الذي يصف القيود والبحث المستقبلي.

خلفية البحث ومراجعة الأدبيات

خلفية البحث

عندما يتعلم بائع التكنولوجيا عن ثغرة يوم الصفر في منتجاته، يتخذ قرارين في عملية التصحيح. أولاً، بناءً على تقييم المخاطر للثغرة، يقوم البائع بترتيب الثغرات ويعطي الأولوية لعملية تطوير التصحيح. ثانياً، بناءً على التقييم الأولي، يحدد البائع ما إذا كان يجب تسريع وقت إصدار التصحيح ويحدد موعد الإصدار. إذا تم الكشف عن ثغرة علنًا قبل توفر التصحيح، فإن البائع يواجه خطر استغلالات يوم الصفر والهجمات المحتملة ضد منتجه المعرض للخطر. نظريًا، فإن إصدار تصحيح بمجرد…
تم الكشف عن الثغرات (الشحن عند الجاهزية) كحل أمثل؛ ومع ذلك، مع اعتبار البائعين لعوامل مثل التكاليف العالية لتطوير التصحيحات وفوائد توقع التصحيحات، قد تصبح سياسة الإصدار الدوري أكثر مثالية. تجلب إصدارات التصحيحات الدورية توقعًا لكل من البائعين والعملاء، حيث تمكن العملاء من إدارة التصحيحات بشكل أكثر كفاءة وتقلل من تكاليف نشر التصحيحات. على سبيل المثال، منذ عام 2005، غيرت Oracle سياسة إصدار التصحيحات من الشحن عند الجاهزية إلى إصدار مجدول ربع سنوي. كانت قرار Oracle مستندًا إلى ملاحظات العملاء حول نقص التوقع، والصعوبة في تطبيق العديد من التصحيحات في فترة زمنية قصيرة، وخطر تفويت تصحيح أمني. وبالمثل، انتقلت شركات التكنولوجيا الأخرى مثل Microsoft وSAP وAdobe إلى جدول إصدار تصحيحات شهري. مع تنفيذ المزيد من البائعين لجدول إصدار دوري، تظل التحديات المتعلقة بتحديد أي ثغرة يجب تصحيحها أولاً ومتى تمثل قضية.
نظرًا لقيمة ثغرات اليوم الصفري، بدأت العديد من برامج مكافآت الأخطاء في الظهور حيث يتم تداول الثغرات من قبل الباحثين في الأمن. تعتبر برامج مكافآت الأخطاء وسائط تفصل بين الباحثين في الأمن وموردي التكنولوجيا. مقابل مبلغ مالي محدد، تتداول هذه البرامج ثغرات اليوم الصفري من الباحثين ثم تتواصل وتشارك المعلومات بشكل خاص مع المورد المتأثر. ومع ذلك، لضمان الامتثال من المورد، غالبًا ما تحدد برامج مكافآت الأخطاء موعدًا نهائيًا قبل الكشف العام عن الثغرة. تلخص الشكل 1 هذه العملية. في سياق هذه الدراسة، نستخدم برامج مكافآت الأخطاء كمصدر البيانات الرئيسي لثغرات اليوم الصفري.
نظرًا لأن هذه الدراسة تتعامل مع حدث مرتبط بالوقت (إصدار التصحيح)، فإن الطريقة الإحصائية تحتاج إلى أخذ هذا العامل الزمني في الاعتبار. وبالتالي، نستخدم تقنية تحليل البقاء. تحليل البقاء هو مجموعة راسخة من الأساليب الإحصائية التي تفحص مدة الوقت حتى حدوث نقطة اهتمام محددة جيدًا. تم تطبيق تحليل البقاء في الأصل على تحليل بقاء المرضى في المجال الطبي؛ ومع ذلك، تم توسيع استخدامه ليشمل مجالات أخرى مثل نظم المعلومات، والمالية، والعلوم الاجتماعية، والهندسة. يمكن أن يقيس تحليل البقاء تأثير العوامل على الوقت حتى حدوث حدث. في هذه الدراسة، الحدث المعني هو إصدار التصحيح من قبل بائع. على عكس تقنيات الإحصاء الأخرى، يأخذ تحليل البقاء في الاعتبار مسألة التعتيم، وهي حالة تحدث عندما لا يحدث الحدث المعني. على سبيل المثال، إذا لم يقم بائع بإصدار تصحيح في الوقت المحدد، فإن تحليل البقاء سيقوم بتعتيم تلك النقطة البيانية المحددة. من خلال تحليل العوامل التي تؤثر على الوقت حتى حدوث حدث، يمكن لتحليل البقاء حساب احتمال أن يتمكن بائع من إصدار تصحيح في الوقت المحدد والإبلاغ عن تأثير العوامل على وقت إصدار التصحيح.

مراجعة الأدبيات

لقد أبرزت الأبحاث الناشئة حول تصحيح الثغرات عددًا من المواضيع المهمة المتعلقة بالبرمجيات وإصدار التصحيحات، وكشف الثغرات. خصائص الثغرات واستغلالها [28،29،30]، البرمجيات المستندة إلى السحابة [31]، جودة البرمجيات [3]، التخفيف من المخاطر [32]، وقرصنة البرمجيات [33، 34].
يستند عملنا إلى عدة مجالات في أدبيات تصحيح الثغرات. المجال الأول هو البرمجيات وإصدار التصحيحات. اقترح نارنج وآخرون [9] إطار عمل ثنائي المعايير يحدد الوقت الأمثل لاكتشاف الثغرات وتصحيحها ويقلل من المخاطر والتكاليف. باستخدام مجموعة بيانات تتكون من 47 ثغرة في متصفح جوجل كروم، قام المؤلفون بالتحقق من صحة الإطار المقترح؛ أظهرت النتائج منحنى ملاءمة جيد لنماذج اكتشاف الثغرات وتصحيحها. قام تيكو وآخرون [10] بصياغة نموذج زمني منفصل يحدد عدد الاختبارات الأمثل المطلوبة لإصدار التصحيحات وإصدار البرمجيات مع الأخذ في الاعتبار التكاليف والقيود.
الشكل 1: الجدول الزمني لتقديم ثغرات اليوم صفر من خلال برامج مكافآت الأخطاء.
زيادة الاعتمادية. قام المؤلفون بالتحقق من النموذج المقترح باستخدام مجموعة بيانات حقيقية باستخدام دالة التوزيع اللوجستي. في دراسات مماثلة، طور تشودري وآخرون [11، 12] نموذج تكلفة قائم على الجهد لتحديد الوقت الأمثل لإصدار التحديثات وإصلاح البرمجيات تحت الضمان مع نقطة تغيير. تم اختبار النموذج المقترح على بيانات عينة وتم حساب الوقت الأمثل لإصدار التحديث. أنشأ كانسال وآخرون [13] نموذج تكلفة لاكتشاف الوقت الأمثل لإصدار التحديثات وإصلاح البرمجيات تحت الضمان وتقليل تكاليف التطوير. درس جو [14] تأثيرات تركيز السوق على استجابة البائعين في إصلاح ثغرات البرمجيات. باستخدام مجموعة بيانات تحتوي على 586 ثغرة في سوق متصفحات الويب، استنتج المؤلف أن زيادة تركيز السوق تؤثر إيجابياً على استجابة البائعين في إصلاح ثغرات البرمجيات؛ ومع ذلك، فإن التأثير يتناقص عندما يكون بائع البرمجيات مهيمنًا بشكل كبير في السوق.
تستند هذه الدراسة أيضًا إلى مجال ثانٍ يتعلق بالكشف عن الثغرات. قام أورا وآخرون [21] بصياغة نموذج للعثور على السياسة المثلى للكشف عن الثغرات وإصدار التصحيحات. باستخدام بيانات من فريق الاستجابة لحالات الطوارئ الحاسوبية (CERT) وSecurityFocus، أظهرت النتائج أن تهديد الكشف عن الثغرة فعال في إجبار البائع على إصدار تصحيح أمني في الوقت المناسب. ومع ذلك، لا تأخذ الدراسة في الاعتبار تأثير الخصائص المتعلقة بالثغرات ونوع البرمجيات على وقت إصدار التصحيحات. في دراسة لاحقة، استكشف أورا وآخرون [2] كيف يؤثر الكشف عن الثغرات على وقت إصدار التصحيحات. وخلص المؤلفون إلى أن الكشف الفوري والثغرات الشديدة يسرعان من وقت إصدار التصحيحات. بالإضافة إلى ذلك، تم الإبلاغ عن أن البائعين مفتوحي المصدر أسرع في إصدار التصحيحات مقارنة بالبائعين مغلوقي المصدر. طور كافوسوغلو وآخرون [7] نموذجًا لنظرية الألعاب للعثور على إدارة تصحيح مدفوعة بالوقت المثلى اجتماعيًا لسرعة إصدار التصحيحات من قبل بائعي التكنولوجيا وسياسة تحديث التصحيحات للشركات. أظهرت النتائج أن الخسارة الاجتماعية تكون ضئيلة عندما يقوم بائعو التكنولوجيا بإصدار تصحيحات دورية بدلاً من الإصدار الفوري. قام هوانغ وآخرون [8] بتحليل سرعة التصحيح لأربعة أنواع من المنظمات، بما في ذلك المؤسسات الحكومية، والشركات المدرجة، والمؤسسات التعليمية، والشركات الناشئة في الصين. أظهرت النتائج أن الشركات المدرجة كانت الأسرع في إصدار تصحيح أمني.
تبع ذلك المؤسسات الحكومية والتعليمية، بينما كانت الشركات الناشئة هي الأبطأ.
نستند أيضًا إلى مجال ثالث من العمل يتعلق بخصائص الثغرات واستغلالها. قام تيميزكان وآخرون [29] بتحليل التأثيرات المختلفة لثغرات السرية والنزاهة والتوافر على سلوك إصدار التصحيحات من قبل البائعين. أظهرت النتائج أن الثغرات ذات التأثير العالي على السرية أو النزاهة يتم تصحيحها بسرعة أكبر. قام سين وهايم [30] بالتحقيق في العوامل التي تؤثر على نشر التصحيحات الأمنية وخلصوا إلى أن إعطاء الأولوية للتصحيحات بناءً على احتمال نشر الاستغلال يقلل من الخسائر المنسوبة إلى هجمات الثغرات. أخيرًا، قارن دي وآخرون [28] فعالية سياسات التصحيح النقي التي تعتمد على مقياس واحد (مثل تكلفة التصحيح، مستوى الشدة) وسياسات التصحيح الهجينة التي تجمع بين أكثر من مقياسين. وخلص المؤلفون إلى أن استخدام نهج هجين يتبنى التصحيح خارج الدورة، والتصحيح العشوائي، بالإضافة إلى النشر المجدول القائم على الوقت، هو الأكثر فعالية بالنسبة للمنظمات.
بينما وسعت الأعمال المذكورة أعلاه فهمنا لتحديثات البائعين، إلا أن هذه الدراسات لها بعض القيود. أولاً، لم تستكشف الأبحاث السابقة تأثير العوامل المتعلقة بالثغرات (مثل طريقة الهجوم، وتعقيد الهجوم، والامتيازات المطلوبة، والنطاق، وتفاعل المستخدم) على وقت إصدار التحديثات. علاوة على ذلك، اعتمدت الأعمال السابقة على مصادر بيانات، مثل CERT، التي ليست شفافة عند التعامل مع الثغرات التي تظهر في يوم الصفر. ثالثاً، قامت الأعمال السابقة بتحليل البيانات على مدى فترة زمنية قصيرة، مما قد يكون غير كافٍ لفهم كيفية تأثير وقت إصدار التحديثات بشكل كامل.

المنهجية

تحليل البقاء

تحليل البقاء هو مجموعة من الأساليب الإحصائية المستخدمة لدراسة المشكلات المتعلقة بحدوث وتوقيت الأحداث. يقيس تحليل البقاء حدوث حدث معين على مر الزمن وليس لديه افتراضات أساسية حول التوزيع أو الخطية أو تجانس أوقات البقاء. نظرًا لأن الحدث المعني قد يفتقر إلى توزيع دقيق، فإن نموذج المخاطر النسبية لكوكس
نموذج (يسمى أيضًا تحليل كوكس) يُستخدم غالبًا في تحليل البقاء. تحليل كوكس هو طريقة شبه بارامترية لتحليل البقاء تُقدّر التأثير النسبي (نسبة المخاطر) للمتغيرات المرافقة على الحدث المعني. يفترض تحليل كوكس أن تأثير المتغيرات المرافقة على المخاطر متناسب على مر الزمن. علاوة على ذلك، يتناول تحليل كوكس مشكلة التقطيع الأيمن التي تحدث إذا لم يتم ملاحظة الحدث المعني. يُعرّف تحليل كوكس كما يلي:
أين هو خطر الأساس لحدث الاهتمام في الوقت هو خطر الحدث المعني مشروطًا بالمتغيرات المستقلة ، و “ هو المعامل.
في سياق هذه الدراسة، الحدث الذي يهمنا هو إصدار تصحيح في الوقت المناسب لثغرة يوم الصفر قبل الموعد النهائي المحدد. بالإضافة إلى ذلك، يتم تطبيق التقطيع الأيمن كلما لم يتم تصحيح ثغرة يوم الصفر ضمن الموعد النهائي المحدد. نحن نحدد نموذج الانحدار لكوكس لالتقاط كيفية تصحيح ثغرات يوم الصفر في الوقت المناسب من خلال قياس التغيرات في المتغيرات المستقلة والضابطة. على وجه التحديد، لكل متغير، ينتج عن انحدار كوكس نسبة خطر. إذا كانت نسبة الخطر أكبر من واحد، فهذا يعني أن زيادة في المتغير ستزيد من احتمال حدوث الحدث المعني (التصحيح في الوقت المناسب). من ناحية أخرى، إذا كانت نسبة الخطر أقل من واحد، فإن زيادة في المتغير ستقلل من احتمال حدوث الحدث المعني. أخيرًا، إذا كانت نسبة الخطر تساوي واحدًا، فهذا يعني أن زيادة في المتغير ليس لها تأثير على الحدث المعني.

جمع البيانات

تم جمع مجموعة بيانات الثغرات من مصدرين: NVD و ZDI. برعاية وزارة الأمن الداخلي، تُعد NVD قاعدة بيانات عامة شاملة تحتوي على معلومات حول الثغرات المبلغ عنها. تُبلغ NVD عن المعلومات التالية لكل ثغرة: معرف فريد يُسمى تعداد الثغرات الشائعة (CVE)، وصف قصير للثغرة، نوع الثغرة، درجة شدة بالإضافة إلى متجه الهجوم، وتعقيد الهجوم، والامتيازات المطلوبة، والنطاق، وتأثيرات السرية، والنزاهة، والتوافر. من ناحية أخرى، تُعد ZDI برنامج مكافآت للثغرات يُكافئ الباحثين في الأمن على الكشف عن الثغرات من نوع “زيرو داي”. تعمل ZDI بشكل وثيق مع البائعين المتأثرين لمعالجة الثغرة قبل الكشف العام. وفقًا لـ ZDI، يتم إبلاغ كل بائع عن منتجه المتأثر ويُعطى 120 يومًا لإصدار تصحيح أمني. إذا لم يتم توفير تصحيح خلال هذه الفترة، تقوم ZDI بنشر إشعار محدود يتضمن تدابير للتخفيف لحماية المستخدمين المتأثرين. بالنسبة لكل ثغرة، تُبلغ ZDI عن المعلومات التالية: CVE، اسم البائع المتأثر، المنتج المتأثر، اسم الباحث الأمني الذي اكتشف الثغرة، والجداول الزمنية للإفصاح التي تشمل تاريخ الإبلاغ عن الثغرة للبائع التكنولوجي المتأثر، تاريخ الإصدار العام لتصحيح أمني، والجداول الزمنية الإضافية لأي اتصالات أخرى مع البائع.
بالنسبة لمجموعة البيانات الخاصة بنا، استخدمنا ZDI لتوثيق جميع الثغرات من نوع صفر يوم التي تم الكشف عنها بين عامي 2010 و2020. بعد جمع البيانات، قمنا بمقارنة مجموعات بيانات NVD وZDI باستخدام قيمة CVE. ثم قمنا بإزالة الإدخالات التي تحتوي على ملاحظات مفقودة. كان حجم العينة النهائي 4897 ثغرة من نوع صفر يوم على مدى فترة 11 عامًا. استنادًا إلى مجموعة البيانات، كان عام 2019 هو العام الذي سجل أدنى متوسط لوقت إصدار التصحيحات (97 يومًا)، بينما كان عام 2012 هو العام الذي سجل أعلى متوسط لوقت إصدار التصحيحات (193 يومًا). توضح الجدول 1 الإحصائيات الوصفية للثغرات التي تم توثيقها. استنادًا إلى متوسط عدد الأيام حتى إصدار التصحيحات، كما هو موضح في الشكل 2، منذ عام 2012، يظهر الرسم البياني ميلًا سلبيًا يشير إلى-
الجدول 1: الإحصائيات الوصفية لثغرات اليوم صفر.
سنة متوسط الأيام لإصدار التصحيح الانحراف المعياري
٢٠١٠ 213 ١٢٨ 67.86
2011 255 168 ٩٨.٢٨
٢٠١٢ ١١٧ 193 ١٠١.٥٩
2013 236 ١٥٢ 90.99
2014 335 121 68.57
2015 ٥٠٢ ١٠٤ ٤٣.٧٨
2016 ٣٦٤ 111 ٨٣.٥٣
2017 646 ١٠٣ ٥٣.٥٠
2018 928 ١٠٥ ٢٨.٦٢
2019 606 ٩٧ ٣٤.٢١
٢٠٢٠ 695 100 ٣٣.٤٢
الإجمالي 4897
إصدار تصحيحات أسرع على مدى فترة 11 عامًا. يتضمن القسم التالي أوصافًا وتطبيقًا للمتغيرات المستخدمة في هذه الدراسة.

المتغير التابع

في هذه الدراسة، نستخدم PatchReleaseTime كمتغير تابع. لقياس PatchReleaseTime، استخدمنا تاريخ تقرير الثغرة الأمنية. ) وتاريخ إصدار التصحيح ( ). هو التاريخ الذي تم فيه الإبلاغ عن ثغرة يوم الصفر للبائع المتأثر من قبل ZDI، بينما تشير إلى تاريخ إصدار التصحيح لنفس الثغرة. وبالتالي، قمنا بقياس PatchReleaseTime كالفارق بين تاريخ تقرير الثغرة وتاريخ إصدار التصحيح (PatchReleaseTime وفقًا لـ ZDI، يُمنح البائع 120 يومًا لمعالجة ثغرة اليوم صفر قبل الإفراج العام عن المعلومات المتعلقة بالثغرة وآلية التخفيف الخاصة بها. لذلك، قمنا بتحديد تاريخ القطع لوقت إصدار التصحيح ليكون 120 يومًا بعد تاريخ تقرير الثغرة وقمنا بحذف هذه الثغرات من التحليل. في سياق هذه الدراسة، سيتم اعتبار ثغرة اليوم صفر التي تم تصحيحها قبل 120 يومًا على أنها تم تصحيحها في الوقت المحدد، بينما تعتبر تلك التي تم تصحيحها بعد تاريخ القطع تصحيحات متأخرة.

المتغيرات المستقلة

متجه الهجوم. يقيس كيفية استغلال ثغرة يوم الصفر. يسمح متجه الهجوم عن بُعد للخصوم بمهاجمة (استغلال) الثغرات عبر نفس الشبكة المنطقية أو الفيزيائية أو عبر الإنترنت. من ناحية أخرى، يقتصر متجه الهجوم المحلي على الهجمات التي تتطلب وصولًا مباشرًا فعليًا إلى النظام المستهدف. نقوم بترميز هذه المتغيرات كـ نقطة هجوم عن بُعد، و نقطة هجوم محلية.
تعقيد الهجوم. تقيس هذه المقياس مستوى الصعوبة المطلوب للهجوم (استغلال) ثغرة يوم الصفر. تعتبر الثغرات التي تُعطى درجة تعقيد هجوم منخفضة أكثر خطورة لأنها أسهل في الاستغلال ولا تتطلب شروطًا خاصة. على سبيل المثال، حقن لغة الاستعلام الهيكلية (SQL)، وهو نوع من الهجمات في تطبيقات الويب المعتمدة على البيانات، يُعتبر تهديدًا خطيرًا يُعتبر بسيطًا وسهلًا للمهاجمين. من ناحية أخرى، تُعطى ثغرة حالة السباق درجة تعقيد عالية لأنها تتطلب تسلسلًا خاصًا وتلاعبات معقدة لتنفيذها، مما يجعل من الصعب استغلالها. نقوم بترميز هذه المتغيرات كما يلي: [1] = تعقيد هجوم عالي، [0] = تعقيد هجوم منخفض. في عملية الترميز، قمنا بدمج تعقيدات الوصول المتوسطة والمنخفضة معًا للتخفيف من المشكلات المتعلقة بحجم العينة المنخفض لكل مستوى.
متوسط الأيام لإصدار التصحيح
الشكل 2: متوسط عدد الأيام لإصدار تصحيح لثغرات اليوم الصفري.
المتطلبات اللازمة. في بعض الأحيان، تكون امتيازات الوصول إلى النظام المتأثر شرطًا مسبقًا لبدء هجوم ضد ثغرة يوم الصفر [39]. على سبيل المثال، قد يُطلب من المهاجم تقديم بيانات الاعتماد لـ في النظام المتأثر قبل استغلال ثغرة. نحن نبرمج هذه المتغير كـ المزايا المطلوبة، و لا تتطلب امتيازات.
النطاق. تشير هذه المقياس إلى ما إذا كانت ثغرة يوم الصفر تؤثر على الموارد خارج صلاحياتها المعينة. عندما يحدث ذلك، سيحدث تغيير في النطاق. على سبيل المثال، في عام 2017، سمحت ثغرة تجاوز السعة في آلة VMware الافتراضية لمستخدم ضيف بتنفيذ كود على الجهاز المضيف. في هذه الحالة، مكنت هجمة من الضيف إلى المضيف الخصم من تجاوز الصلاحيات المعينة والتأثير على نظام التشغيل المضيف. في سياق هذه الدراسة، نقوم بترميز هذه المتغير كما يلي: تغير النطاق و نطاق غير متغير.
تفاعل المستخدم. تشير هذه المقياس إلى ما إذا كان يمكن استغلال ثغرة يوم الصفر من قبل مهاجم أو تتطلب من المستخدم القيام ببعض الإجراءات (مثل فتح مستند ضار، أو النقر على رابط). يتم ترميز هذه المتغيرات على النحو التالي: [1] = يتطلب تفاعل المستخدم و لا حاجة لتفاعل المستخدم.
آثار السرية والنزاهة والتوافر. تصنف إطار عمل السرية والنزاهة والتوافر (CIA) تأثير ثغرة يوم الصفر فيما يتعلق بسرية المعلومات، وضمان النزاهة، ومنع التعديل أو التدمير الخبيث، وتوافر المعلومات. بشكل محدد، يقيم الإطار أمان النظام، ويطور أهداف أمان عملية، ويقيم تأثير الهجمات على الأهداف الضعيفة. لكل مكون من مكونات إطار عمل CIA، يحدد مستوى التأثير مقدار الضرر الناتج عن فقدان السرية والنزاهة والتوافر. على سبيل المثال، يعني التنازل الكامل عن CIA أعلى مستوى من التأثير. من ناحية أخرى، تشير التنازلات الجزئية أو عدم التنازل عن مكونات CIA إلى مستويات تأثير أقل. لقياس آثار CIA، نستخدم نظام الترميز التالي: أثر السرية، و [0] = أثر سرية جزئي؛ [1] = أثر النزاهة، و [0] = أثر نزاهة جزئي؛ [1] = أثر التوفر، و أثر التوافر الجزئي.
متغيرات التحكم. قمنا بالتحكم في أربعة متغيرات: درجة شدة الثغرة، عدد البائعين المتأثرين، عدد المنتجات المتأثرة، وعدد الإصدارات المتأثرة. درجة شدة الثغرة هي متغير مستمر يقيم مستوى شدة الثغرة. يتم حساب هذه المقياس بناءً على نظام تسجيل الثغرات الشائعة (CVSS)، وهو إطار عمل مفتوح للصناعة أنشأه المجلس الوطني لضمان البنية التحتية (NIAC). لكل ثغرة، يتم الإبلاغ عن درجة الشدة كقيمة تتراوح بين 0 و10، حيث تشير 0 إلى أقل ثغرة شدة و10 تعني أكثرها شدة. علاوة على ذلك، قمنا بالتحكم في عدد البائعين والمنتجات المتأثرة. نظرًا لأن الثغرة قد تؤثر على عدة منتجات وبائعين، فمن المحتمل أن يؤثر ذلك على الوقت اللازم لتصحيحها؛ لذلك، نحن نتحكم في كل من عدد المنتجات والبائعين المتأثرين. تم تلخيص أوصاف وتفعيل المتغيرات في الجدول 2.
استنادًا إلى المتغيرات المستقلة والضابطة، نقوم ببناء نموذج انحدار كوكس (المعادلة 2) لتقدير احتمال إصدار تصحيح في الوقت المناسب استنادًا إلى المتغيرات المشتركة والضوابط.

النتائج التجريبية

النتائج

قبل إجراء تحليل الانحدار كوكس، اتبعنا توصيات أوستن، أليجنول، وفاين [44] لضمان وجود عدد كافٍ من الأحداث لكل متغير. علاوة على ذلك، استخدمنا رسومات بقايا الانحراف لفحص البيانات بحثًا عن القيم الشاذة واستخدمنا رسومات لـ البقاء ضد (الوقت) لفحص فرضية التناسب. تم إجراء تحليل الانحدار كوكس باستخدام برنامج SAS (الإصدار 9.4، معهد SAS، كاري، نورث كارولينا). تم تقييم جودة ملاءمة النماذج المقترحة باستخدام -احتمالية ( -2 LL ) اختبار نسبة الاحتمالية. بناءً على بيرسون الإحصائيات، اعتُبرت النماذج المقترحة ذات دلالة إحصائية ).
الجدول 2: وصف وتشغيل المتغيرات.
متغير نوع الوصف/التشغيل
وقت إصدار التصحيح معتمد فرق تاريخ تقرير ثغرة يوم الصفر وتاريخ إصدار التصحيح
نمط الهجوم مستقل كيف يتم استغلال ثغرة يوم الصفر: [1] = وسيلة هجوم عن بُعد، و [0] = وسيلة هجوم محلي
تعقيد الهجوم مستقل مستوى الصعوبة المطلوب للهجوم: [1] = تعقيد هجوم عالي، [0] = تعقيد هجوم منخفض
المزايا المطلوبة مستقل متطلبات الامتيازات اللازمة لاستغلال ثغرة يوم الصفر: الامتيازات المطلوبة، لا تتطلب امتيازات
تفاعل المستخدم مستقل ما إذا كانت التفاعل مع الاستخدام مطلوبًا لاستغلال الثغرة بنجاح: [1] = مطلوب، و غير مطلوب
نطاق مستقل ما إذا كانت الثغرة يمكن أن تؤثر على الموارد بما يتجاوز قدراتها/امتيازاتها: [1] = نعم، و[0] = لا
أثر السرية مستقل مستوى التنازل عن السرية: [1] = تأثير السرية، و [0] = تأثير جزئي على السرية
أثر النزاهة مستقل مستوى التنازل عن النزاهة: أثر النزاهة، و أثر جزئي على النزاهة
أثر التوافر مستقل مستوى التوصل إلى حل وسط من حيث التوفر: [1] = تأثير التوفر، و [0] = تأثير التوفر الجزئي
درجة الشدة تحكم مستوى شدة ثغرة اليوم الصفري يقاس على مقياس من 0 إلى 10
البائعون المتأثرون تحكم عدد البائعين المتأثرين بالثغرة
المنتجات المتأثرة تحكم عدد المنتجات المتأثرة بالثغرة
الإصدارات المتأثرة تحكم عدد النسخ المتأثرة بالثغرة الأمنية
الجدول 3: نموذج الانحدار كوكس الرئيسي.
النموذج الرئيسي
المتغيرات المستقلة
نمط الهجوم -0.22 (0.05)
تعقيد الهجوم 0.20* (0.08)
المزايا المطلوبة -0.29*** (0.07)
تفاعل المستخدم 0.06 (0.06)
نطاق 0.44*** (0.08)
أثر السرية -0.37*** (0.11)
أثر النزاهة – 0.04 (0.11)
أثر التوافر 0.01 (0.10)
متغيرات التحكم
درجة الشدة -0.02 (0.03)
عدد البائعين المتأثرين 0.12*** (0.02)
عدد المنتجات المتأثرة 0.04*** (0.01)
عدد الإصدارات المتأثرة 0.01*** (0.00)
إحصائيات النموذج
والد اختبار 239.28***
.
** .
.
; الأخطاء القياسية بين قوسين.
أظهرت نتائج ملاءمة نموذج الانحدار كوك المتغيرات ذات الدلالة الإحصائية التالية: تعقيد الهجوم، الامتيازات المطلوبة، النطاق، تأثير السرية، عدد البائعين المتأثرين، عدد المنتجات المتأثرة، وعدد الإصدارات المتأثرة. كما هو موضح في الجدول 3، كشفت النتائج أن الثغرات الأمنية من نوع “زيرو داي” التي تتمتع بتعقيد هجوم عالٍ، وتؤدي إلى تغيير في النطاق، وتؤثر على عدد أكبر من البائعين والمنتجات والإصدارات، هي أكثر احتمالاً أن يتم تصحيحها في الوقت المناسب. على وجه التحديد، كشفت النتائج أن الثغرات الأمنية من نوع “زيرو داي” ذات تعقيد هجوم عالٍ هي أكثر احتمالاً بمعدل 1.22 مرة أن تحصل على تصحيحات في الوقت المناسب. وبالمثل، فإن الثغرات الأمنية من نوع “زيرو داي” التي تؤدي إلى تغيير في النطاق هي أكثر احتمالاً بمعدل 1.55 مرة أن يتم تصحيحها في الوقت المناسب. بالإضافة إلى ذلك، مع زيادة عدد البائعين والمنتجات والإصدارات المتأثرة، فإن الثغرات الأمنية هي أكثر احتمالاً بمعدل 1.13 و1.04 و1.01 مرة على التوالي أن يتم تصحيحها في الوقت المناسب.
على العكس، أظهرت النتائج أن الثغرات الأمنية التي تتطلب صلاحيات والتي تُعرف بثغرات اليوم صفر هي أقل احتمالاً أن يتم تصحيحها في الوقت المحدد، بينما
تلك التي تؤثر على السرية هي أقل احتمالاً للحصول على تصحيحات في الوقت المناسب. بينما تسلط هذه النتائج الضوء على كيفية تأثير المتغيرات على احتمال إصدار التصحيحات للثغرات ذات اليوم الصفري، نقوم بإجراء مزيد من الاستكشاف والتحليلات الفرعية للتحقق من كيفية اختلاف هذه النتائج بين المنتجات وأنواع الثغرات.

تحليلات فرعية نوع المنتج

نظرًا لأن بعض أنواع المنتجات عرضة لمزيد من الثغرات والهجمات، نقوم بإجراء تحليل فرعي بناءً على نوع المنتج المتأثر. باستخدام مجموعة البيانات الخاصة بنا، نحدد ستة أنواع من المنتجات (برامج قراءة المستندات، برامج المؤسسات، أنظمة التشغيل، متصفحات الويب، البرامج الشخصية، وأدوات التطوير). نقوم بتقييد خياراتنا إلى هذه الأنواع الستة نظرًا لتكرار كل نوع.
أولاً، نطبق الـ طريقة، تقنية غير معلمية تُستخدم لتقدير الأحداث المتعلقة بالوقت [46]. على وجه التحديد، يمكن استخدام تحليل كابلان-ماير لتقدير دوال البقاء من أجل اختبار الدلالة الإحصائية للاختلافات بين المجموعات (مثل أنواع المنتجات). بالإضافة إلى ذلك، تتيح لنا هذه الطريقة رسم احتمالات البقاء العامة لأنواع المنتجات المختلفة طوال مدة الدراسة وتقدير متوسط ووسيط وقت إصدار الدفعات.
تظهر الشكل 3 نسبة أنواع المنتجات -محور) الذي سيكون له إصدار تصحيحي طوال مدة الدراسة ( -المحور). تظهر المنحنيات أن كل نوع من المنتجات له سلوك مختلف. على سبيل المثال، يبدو أن نسبة البرمجيات الشخصية المرقعة هي الأعلى مقارنة بأنواع أخرى. لتأكيد الفرق بين أنواع المنتجات، أجرينا اختبار رتبة اللوغ (مانتل-كوك) وقد أكد وجود فرق ذو دلالة إحصائية. تقرير الجدول 4 يوضح التقديرات المتوسطة والوسيطية لوظائف البقاء. ومن المثير للاهتمام أن البرمجيات الشخصية لديها أقل وقت إصدار تصحيح وسطي (74 يومًا) بينما البرمجيات المؤسسية لديها أعلى وسطي (96 يومًا). وهذا يعني أنه عند 74 يومًا، ستكون هناك إصدارات تصحيح للبرامج الشخصية، بينما الأخرى لا يزال في انتظار تحديث.
ثانيًا، نقوم بتطبيق نموذج انحدار كوكس لكل نوع من المنتجات. باستخدام نفس المتغير التابع (وقت إصدار التصحيح)، وثمانية متغيرات مستقلة (نوع الهجوم، تعقيد الهجوم، الامتيازات المطلوبة، النطاق، تفاعل المستخدم، تأثير السرية، تأثير النزاهة، وتأثير التوافر)، وأربعة متغيرات تحكم (درجة الشدة، عدد البائعين المتأثرين، عدد المنتجات المتأثرة، وعدد)
الشكل 3: تقديرات K-M لوظائف البقاء لكل نوع من المنتجات.
الجدول 4: متوسط ووسيط أوقات البقاء لأنواع المنتجات.
نوع المنتج معنى الوسيط
فترة الثقة 95% فترة الثقة 95%
تقدير خطأ معياري الحد الأدنى حد أعلى تقدير خطأ معياري الحد الأدنى حد أعلى
برنامج قراءة الوثائق ٧٦.٢٥ 0.80 ٧٤.٦٧ 77.82 ٧٩.٠٠ 0.93 ٧٧.١٩ 80.81
برمجيات المؤسسات ١٠٦.٥٤ 2.06 ١٠٢.٤٩ ١١٠.٥٨ ٩٦.٠٠ 1.70 92.68 99.32
نظام التشغيل 81.01 1.36 78.33 ٨٣.٦٨ ٨٦.٠٠ ٢.٥٧ 80.96 91.04
متصفح الويب ٧٦.٥٠ 1.72 73.12 ٧٩.٨٨ ٧٧.٠٠ 1.88 73.32 80.68
البرمجيات الشخصية 72.36 1.46 69.50 75.22 ٧٤.٠٠ 1.76 70.55 ٧٧.٤٥
أدوات التطوير ٧٦.١٣ ٣.٣٠ 69.65 82.60 ٧٧.٠٠ 3.49 70.15 ٨٣.٨٥
نقسم مجموعة البيانات الأولية إلى مجموعات مختلفة بناءً على نوع المنتج (الإصدارات المتأثرة).
كما هو موضح في الجدول 5، بالنسبة لبرامج قراءة الوثائق (النموذج 1)، فإن الثغرات الأمنية من نوع زيرو داي التي تؤدي إلى تغيير النطاق، وتؤثر على التوافر، وتؤثر على المزيد من المنتجات، من المرجح أن يتم تصحيحها في الوقت المحدد؛ ومع ذلك، فإن الثغرات التي تحتوي على متجه هجوم عن بُعد وتؤثر على السرية والنزاهة، من غير المرجح أن يتم تصحيحها في الوقت المحدد. من ناحية أخرى، يبدو أن التصحيحات في الوقت المناسب لبرامج المؤسسات (النموذج 2) تتأثر إيجابيًا بتفاعل المستخدم، وعدد المنتجات والإصدارات المتأثرة. كما تتأثر برامج المؤسسات سلبًا بالثغرات التي تحتوي على متجه هجوم عن بُعد. تكشف النتائج المتعلقة بأنظمة التشغيل (النموذج 3) أن الثغرات الأمنية من نوع زيرو داي التي تؤثر على النزاهة وتؤثر على المزيد من الإصدارات من المحتمل أن يتم تصحيحها في الوقت المحدد. بالنسبة للبرامج الشخصية (النموذج 4)، لم تكشف النتائج عن أي متغيرات ذات دلالة إحصائية. بالنسبة لأدوات التطوير (النموذج 5)، فإن الثغرات ذات تعقيد الهجوم العالي تؤثر إيجابيًا على وقت إصدار التصحيحات، بينما تؤثر الثغرات التي تحتوي على متجه هجوم عن بُعد، وتتطلب امتيازات وتفاعل المستخدم، وتؤثر على النزاهة سلبًا على وقت إصدار التصحيحات. أخيرًا، لم يكن النموذج الملائم لمتصفحات الويب ذا دلالة إحصائية؛ لذلك، تم استبعاده من جدول النتائج.

نوع الثغرة

نقوم أيضًا بإجراء تحليل فرعي بناءً على نوع الثغرة. يصف نوع الثغرة تصميم الثغرة وهندستها ويحدد سطح الهجوم المطلوب لاستغلالها. لتصنيف أنواع الثغرات، نستخدم تعداد الضعف الشائع (CWE)، وهو مشروع مجتمعي برعاية وزارة الأمن الداخلي الأمريكية يصنف الثغرات في قائمة رسمية. للحصول على حجم عينة متساوي لكل نوع من أنواع الثغرات، نحدد ستة أنواع: تقييد غير صحيح للعمليات ضمن حدود ذاكرة مؤقتة (CWE-119)، استخدام بعد التحرير (مؤشر معلق) (CWE-416)، قراءة خارج الحدود (CWE-125)، كتابة خارج الحدود (CWE-787)، التحقق غير الصحيح من المدخلات (CWE-20)، وتحويل/إسقاط نوع غير صحيح (CWE-704).
باستخدام نفس النهج الموضح في التحليل الفرعي الأول، نستخدم الطريقة ورسم تقديرات دوال البقاء واختبار الدلالة الإحصائية للاختلافات بين أنواع الضعف. تُظهر نتيجة اختبار لوغ رنك (مانتل-كوك) اختلافًا ذا دلالة إحصائية بين أنواع الضعف. استنادًا إلى الشكل 4 والجدول 6، يبدو أن بعض أنواع الثغرات يتم تصحيحها بشكل أسرع من غيرها. على سبيل المثال، استنادًا إلى التقديرات الوسيطة لوظائف البقاء الموضحة في الجدول-
الجدول 5: تحليل فرعي لأنواع المنتجات باستخدام تحليل كوكس.
برنامج قراءة الوثائق نموذج 1 برنامج المؤسسات نموذج 2 نظام تشغيل الطراز 3 نموذج 4 برنامج شخصي أدوات تطوير النموذج 5
المتغيرات المستقلة
نمط الهجوم -0.45* (0.18) 0.16 (0.19) 0.24 (0.16) -0.79* (0.32)
تعقيد الهجوم 0.34 (0.31) -0.12 (0.20) – 0.16 (0.39)
المزايا المطلوبة – 0.4 (0.60) -0.21 (0.15) -0.29 (0.32) 0.14 (0.26)
تفاعل المستخدم 0.03 (0.14) -0.02 (0.32) – 0.17 (0.16)
نطاق 1.24* (0.59) – 0.06 (0.45) 0.27 (0.52) 0.47 (0.46) 0.55 (0.4)
أثر السرية -2.58*** (0.60) -0.45 (0.20) -0.50 (0.59) – 0.18 (0.30) – 0.80 (0.51)
أثر النزاهة -2.53** (0.85) -0.07 (0.24) 1.23* (0.57) 0.07 (0.33)
أثر التوافر 2.320** (0.85) – 0.24 (0.17) -0.28 (0.57) -0.12 (0.37) 0.26 (0.49)
متغيرات التحكم
درجة الشدة 0.06 (0.08) -0.02 (0.09) -0.37 (0.12) 0.07 (0.09) 0.14 (0.17)
عدد البائعين المتأثرين 0.09 (0.06) – 0.22 (0.21) 0.38 (0.29) – 0.07 (0.07) -0.55 (0.43)
عدد المنتجات المتأثرة 0.19* (0.09) – 0.04 (0.02) 0.02 (0.04) – 0.01 (0.06)
عدد الإصدارات المتأثرة 0.01 (0.01) 0.05** (0.01) 0.02** (0.01) 0.00 (0.01) 0.06 (0.04)
إحصائيات النموذج
والد اختبار 74.58*** ١٠٣.٣*** ٣٤.٨٢***
*** .
** .
.
; الأخطاء القياسية بين قوسين.
الشكل 4: تقديرات K-M لوظائف البقاء لكل نوع من أنواع الضعف.
تظهر النتائج في الجدول 6 أن CWE-416 لديه أقل وقت وسطي (71 يومًا)، بينما CWE-704 لديه أعلى وقت وسطي (102 يوم). وهذا يعني أن من الثغرات التي تنتمي إلى عائلة CWE-416 يتم تصحيحها في غضون 71 يومًا، بينما الأخرى يتم تصحيحها بعد ذلك.
لفحص تأثير المتغيرات المشتركة على وقت إصدار التصحيح لكل نوع من أنواع الثغرات، نقوم بتقسيم مجموعة البيانات الأولية إلى مجموعات مختلفة بناءً على نوع الثغرة ونقوم بتطبيق نماذج انحدار كوكس منفصلة.
تقرير الجدول 7 نتائج نماذج الانحدار لكوكس. في النموذج 1، تظهر النتائج أنه بالنسبة لنوع CWE-119، فإن الثغرات التي تستمر ل zero يوم
يؤدي ذلك إلى تغيير في النطاق ويؤثر على المزيد من المنتجات والإصدارات التي من المرجح أن يتم تصحيحها في الوقت المحدد. بالنسبة لنوع CWE-416 (النموذج 2)، فإن الثغرات الأمنية من نوع يوم الصفر التي تؤدي إلى تغيير في النطاق من المرجح أن يتم تصحيحها أولاً. ومع ذلك، يبدو أن الثغرات التي تتطلب امتيازات وتفاعل المستخدم تؤثر سلبًا على وقت إصدار التصحيحات. تكشف النتائج الخاصة بـ CWE-125 (النموذج 3) أن الثغرات الأمنية من نوع يوم الصفر التي تتمتع بتعقيدات هجوم عالية، ودرجات شدة عالية، وتؤثر على المزيد من الإصدارات من المرجح أن يتم تصحيحها في الوقت المحدد. بينما تلك التي تحتوي على متجهات هجوم عن بُعد وتتطلب امتيازات تكون أقل احتمالًا للتصحيح.
الجدول 6: المتوسط والوسيط لأوقات البقاء لأنواع الضعف.
نوع الثغرة معنى الوسيط
فترة الثقة 95% فترة الثقة 95%
تقدير خطأ معياري الحد الأدنى حد أعلى تقدير خطأ معياري الحد الأدنى حد أعلى
CWE-119 ٧٧.٧٦ 1.09 75.63 79.90 ٧٨.٠٠ 1.12 75.81 80.19
CWE-416 ٧٢.٠٢ 1.35 ٦٩.٣٧ ٧٤.٦٦ ٧١.٠٠ 2.60 65.91 ٧٦.٠٩
CWE-125 ٧٦.٦٤ 1.29 ٧٤.١١ ٧٩.١٧ ٧٧.٠٠ 1.99 ٧٣.١١ 80.89
CWE-787 ٨٤.٠٧ 1.70 80.74 ٨٧.٤٠ ٨٥.٠٠ 3.14 78.85 ٩١.١٥
CWE-20 ٨٣.٦٧ 2.52 78.74 ٨٨.٦١ ٧٣.٠٠ 1.28 ٧٠.٤٩ 75.51
CWE-704 ٨٨.٩٠ 2.66 ٨٣.٦٩ ٩٤.١١ ١٠٢.٠٠ 1.08 99.88 ١٠٤.١٢
CWE-119: تقييد غير صحيح للعمليات ضمن حدود ذاكرة مؤقتة؛ CWE-416: استخدام بعد التحرير؛ CWE-125: قراءة خارج الحدود؛ CWE-787: كتابة خارج الحدود؛ CWE-20: تحقق غير صحيح من المدخلات؛ CWE-704: تحويل نوع غير صحيح أو تحويل.
الجدول 7: تحليل فرعي لأنواع ثغرات اليوم الصفري باستخدام تحليل كوكس.
النموذج 1 CWE-119 النموذج 2 CWE-416 موديل 3 CWE-125 النموذج 4 CWE-787 نموذج 5 CWE-20 النموذج 6 CWE-704
المتغيرات المستقلة
نمط الهجوم – 0.04 (0.15) 0.02 (0.20) 0.09 (0.29) -0.36 (0.25) 0.05 (0.43)
تعقيد الهجوم 0.19 (0.19) 1.17** (0.41) 0.13 (0.63) -0.35 (0.31)
المزايا المطلوبة – 0.18 (0.25) – 1.22* (0.53) 0.38 (0.61) – 1.04 (1.06)
تفاعل المستخدم -0.22 (0.15) -0.50* (0.24) – 0.01 (0.20) – 0.06 (0.38) -0.03 (0.23) -2.70* (1.28)
نطاق 0.79** (0.29) 1.93** (0.74) 0.03 (0.43) -0.30 (0.64) – 0.14 (1.02)
أثر السرية – 0.24 (0.43) – 0.01 (1.04) – 0.23 (0.71) -0.62 (1.13)
أثر النزاهة – 0.17 (0.44) 0.14 (0.55) -0.42 (0.36) – 0.18 (1.43) -0.82 (0.65) – 3.49** (1.19)
أثر التوافر 0.460 (0.44) 0.13 (0.39) 1.81** (0.61)
متغيرات التحكم
درجة الشدة 0.03 (0.11) – 0.18 (0.15) -0.11 (0.25) -0.06 (0.10)
عدد البائعين المتأثرين 0.18 (0.06) 0.12 (0.09) – 0.01 (0.08) 0.31** (0.11) 0.23* (0.10) – 0.12 (0.44)
عدد المنتجات المتأثرة 0.01*** (0.02) – 0.06 (0.05) 0.05 (0.05) 0.26*** (0.05) 0.02 (0.03) 0.06 (0.29)
عدد الإصدارات المتأثرة 0.05** (0.02) 0.01 (0.01) 0.08** (0.03) 0.01 (0.01) 0.01 (0.01) 0.12 (0.09
إحصائيات النموذج
والد اختبار ٤٣.٤٨*** 19.2* ٢٩.٢٣** ٣٩.٣٨*** ٢٣.٥١** 32.68*
*** .
.
.
; الأخطاء القياسية بين قوسين.
CWE-119: تقييد غير صحيح للعمليات ضمن حدود ذاكرة مؤقتة؛ CWE-416: استخدام بعد التحرير؛ CWE-125: قراءة خارج الحدود؛ CWE-787: كتابة خارج الحدود؛ CWE-20: تحقق غير صحيح من المدخلات؛ CWE-704: تحويل نوع غير صحيح أو تحويل.
في الوقت المحدد. بالنسبة لـ CWE-787 (النموذج 4)، تظهر النتائج أنه مع زيادة عدد البائعين والمنتجات المتأثرة، تزداد احتمالية إصدار تصحيح في الوقت المناسب. في النموذج 5، تظهر النتائج أنه بالنسبة لنوع CWE-20، فإن الثغرات الأمنية من نوع صفر يوم التي تؤثر على التوافر وتؤثر على المزيد من المنتجات من المرجح أن يتم تصحيحها في الوقت المحدد، بينما تلك التي تتطلب امتيازات تكون أقل احتمالاً. أخيرًا، بالنسبة لـ CWE-704 (النموذج 6)، فإن الثغرات الأمنية من نوع صفر يوم التي تتطلب تفاعل المستخدم وتؤثر على النزاهة تكون أقل احتمالاً أن يتم تصحيحها في الوقت المحدد.

تحليل المتانة

للتحقق من قوة النتائج، قمنا بتنفيذ تقنية إحصائية بديلة. نظرًا لأن تحليل كوكس يفترض أن المخاطر بين نقطتين بيانات متناسبة على مر الزمن، نختبر ما إذا كانت النتائج حساسة لهذا الافتراض باستخدام نموذج زمن الفشل المعجل (AFT). لا يفترض نموذج AFT المخاطر المتناسبة؛ بل يفترض أن توزيع الوقت حتى الحدث المعني يجب أن يتناسب مع توزيع البقاء المحدد. علاوة على ذلك، يقيم نموذج AFT
أثر المتغيرات المشتركة على زمن البقاء باستخدام نموذج لوغاريتمي خطي. بعد ملاءمة نموذج AFT، تظل نتائجنا نوعياً كما هي (الجدول A1 من الملحق A).

المناقشة والمساهمات

استنادًا إلى نتائج نموذج الانحدار كوكسي الرئيسي، تقترح هذه الدراسة أن الخصائص المتعلقة بالضعف يمكن استخدامها لتقدير احتمال إصدار التصحيحات في الوقت المناسب للثغرات من نوع صفر يوم. بشكل أكثر تحديدًا، يمكن للإطار المقترح لتحليل البقاء قياس احتمال إصدار التصحيحات في الوقت المناسب من خلال العوامل التالية: تعقيد الهجوم، الامتيازات المطلوبة، النطاق، تأثير السرية، وعدد البائعين والمنتجات والإصدارات المتأثرة. كما تشير النتائج إلى كيفية تأثير كل متغير على وقت إصدار التصحيحات بشكل إيجابي وسلبي.
من المدهش أن الثغرات التي تتطلب تعقيدًا عاليًا في الهجوم تبدو أنها تزيد من احتمالية إصدار التصحيحات في الوقت المناسب. وهذا يعني أن الثغرات التي تُعرف بيوم الصفر والتي تتطلب مزيدًا من الجهد من المهاجمين
يتم تصحيحها بشكل أسرع من تلك الأقل تعقيدًا. لضمان عدم تأثر هذه النتيجة بالعينة، قمنا بفحص جميع الثغرات الأمنية التي لم يتم تصحيحها في الوقت المحدد ووجدنا أن جميعها كانت مستويات التعقيد منخفضة. وبالتالي، يفسر هذا لماذا أسفرت تحليل البقاء عن هذه النتيجة غير البديهية. مع توافر المزيد من البيانات، نعتقد أن هذه النتيجة ستصبح أقل تحيزًا. إن ثغرات يوم الصفر التي تؤدي إلى تغيير في النطاق وتؤثر على عدد أكبر من البائعين والمنتجات والإصدارات تشكل خطرًا أكبر، وبالتالي سيعطي البائعون الأولوية لإصدارات التصحيح هذه. بشكل أكثر تحديدًا، تشير النتائج إلى أن البائعين أكثر انتباهاً للثغرات التي قد تؤثر على الموارد خارج نطاق الهدف الأولي ويأخذون في الاعتبار عدد الكيانات المتأثرة بثغرات يوم الصفر.
على العكس، فإن الثغرات الأمنية من نوع “زيرو داي” التي تتطلب امتيازات تقلل من احتمال إصدار التصحيحات في الوقت المناسب. يمكن أن يكون تفسير ذلك هو أن الثغرات الأمنية من نوع “زيرو داي” التي تتطلب جهودًا أكبر من المهاجمين تعتبر أقل خطورة من قبل البائعين؛ وبالتالي، لا تُعطى هذه الثغرات أولوية عالية. وبالمثل، تكشف النتائج أن الثغرات الأمنية من نوع “زيرو داي” التي تؤثر على السرية لا يتم تصحيحها في الوقت المناسب. بينما لا يفحص نموذجنا الأسباب وراء التأخيرات، قد تستفيد الدراسات المستقبلية من التواصل مع بائعين محددين وفحص العلاقة بين تطوير التصحيحات ووقت إصدارها. بشكل عام، تُعلم هذه النتائج بائعي تكنولوجيا المعلومات بأهمية إعطاء الأولوية لإصلاحات الثغرات الأمنية من نوع “زيرو داي” فيما يتعلق بهذه الخصائص. علاوة على ذلك، يمكّن ذلك البائعين من توقع التأخيرات في أوقات إصدار التصحيحات عند التعامل مع بعض الثغرات الأمنية من نوع “زيرو داي”.
تظهر الاختبارات الإحصائية أن أوقات إصدار التصحيحات تختلف عبر المنتجات وأنواع الثغرات. على سبيل المثال، أظهرت النتائج أن برامج المؤسسات لديها أعلى وقت وسطي لإصدار التصحيحات. قد يُعزى ذلك إلى التعقيد المتزايد والتحديات المتعلقة بإصلاح برامج المؤسسات. كما قد يُعزى إلى كمية الجهد والوقت اللازمين لاختبار أنظمة المؤسسات. في أي حال، هذه نتيجة تستحق مزيدًا من الفحص المتعمق. من ناحية أخرى، كانت برامج الأفراد لديها أقل وقت وسطي لإصدار التصحيحات. يمكن أن تقوم الأبحاث المستقبلية بإجراء تحليل مفصل للتعرف على ممارسات التصحيح لدى بائعي تكنولوجيا المعلومات.
نتيجة مثيرة أخرى هي نتيجة التحليل الفرعي لأنواع الثغرات. على سبيل المثال، بينما كان لنوع CWE-416 أقل وقت إصدار تصحيح وسطي (71 يومًا)، فإن CWE-704، من ناحية أخرى، سجل أعلى وقت وسطي (102 يوم). للحصول على رؤى إضافية، هناك حاجة إلى مزيد من البحث حول كل نوع من أنواع الثغرات. على سبيل المثال، وفقًا لـ CWE [47]، يتم تقديم نوع الثغرة CWE-416 خلال مراحل العمارة والتصميم والتنفيذ في دورة حياة تطوير البرمجيات (SDLC) ويُوجد بشكل رئيسي في لغات C وC++ ولغات التجميع. أيضًا، تؤثر هذه النوعية من الثغرات على سلامة النظام وتوافره والتحكم في الوصول إليه. قد تكون هذه المعلومات مفيدة لموردي تكنولوجيا المعلومات الذين قد يرغبون في إعادة النظر في عمليات تطوير التصحيحات وعمليات SDLC الخاصة بهم لمحاولة التخفيف من الثغرات المستقبلية أو تسريع وقت تطوير التصحيحات.

مساهمات البحث

تُعزز هذه الدراسة معرفتنا وفهمنا لثغرات اليوم صفر وتوقيت إصدار التصحيحات. تستكشف سمات جديدة متعلقة بالثغرات وتقيس تأثيرها على توقيت إصدار التصحيحات. في السنوات الأخيرة، دعا الباحثون إلى المزيد من الدراسات التجريبية في مجال أمن المعلومات [50] التي يمكن أن تعزز فهمنا لإصدار تصحيحات الأمان [2]. بينما أضافت الدراسات السابقة إلى معرفتنا بتصحيح الثغرات، كانت هناك حاجة لمزيد من التحقيقات لتجاوز القيود وتحليل توقيت تصحيح ثغرات اليوم صفر. حاولت هذه الدراسة
لسد هذه الفجوة من خلال دراسة تأثير عوامل أخرى لم يتم استكشافها بعد على وقت إصدار التصحيحات لثغرات اليوم صفر باستخدام تحليل البقاء. هذه هي المساهمة الرئيسية لهذه الدراسة حيث تلتقط معلومات ذات صلة حول العوامل المتعلقة بالثغرات وقابلية تطبيق طريقة تحليل البقاء. بالإضافة إلى ذلك، وعلى عكس الأبحاث السابقة، حسب علمنا، هذه هي الدراسة الأولى التي تستخدم ثغرات اليوم صفر في تقييم توقيت إصدار التصحيحات.

الآثار المترتبة على الممارسة

مع استمرار هجمات اليوم الصفري في التأثير على الشركات، تشير نتائجنا إلى عدة رسائل مهمة. أولاً، نشجع المنظمات على تعزيز أولوياتها عند التعامل مع تطوير التصحيحات. على سبيل المثال، يُحث بائعو البرمجيات المؤسسية على أن يكونوا أكثر يقظة تجاه التأخيرات في إصدار التصحيحات مقارنةً بأنواع البرمجيات الأخرى. بالإضافة إلى ذلك، بينما تحدد الشركات أي ثغرة صفرية يجب إصلاحها أولاً، يمكن أن تساعد نتائجنا في عملية اتخاذ القرار باستخدام نوع الثغرة. على سبيل المثال، نظرًا لأن نوع الثغرة CWE-704 يستغرق أطول وقت للتصحيح، يمكن للشركات أخذ ذلك في الاعتبار في عملية تحديد الأولويات. ثانيًا، يمكن أن تساعد نتائجنا صانعي القرار في تخصيص الموارد التنظيمية عند تصحيح أنواع معينة من الثغرات الصفرية. بشكل أكثر دقة، نظرًا لأن تصحيح الثغرات التي تتطلب امتيازات وتؤثر على السرية يستغرق وقتًا أطول للإصلاح، قد يقوم مدراء الأمن بتعديل ممارساتهم في التصحيح وفقًا لذلك وتخصيص مواردهم للتركيز على القضايا الأكثر تأثيرًا. ثالثًا، بالنسبة للشركات التي تعتمد على heuristics الحالية لتحديد شدة الثغرات الصفرية، يمكن استخدام نموذجنا كملحق لمثل هذه الطرق. علاوة على ذلك، إذا لم يكن بائعو التكنولوجيا يستخدمون طرق تصنيف مخاطر الثغرات الحالية، يمكن أن يساعد نموذجنا البائعين في اتخاذ قرارات مستنيرة بشأن التوقيت اللازم لإصلاح الثغرات الصفرية. رابعًا، نظرًا لأن النموذج المقترح والتحليل اعتمدا على بيانات متاحة للجمهور، يمكن تنفيذه من قبل أي شركة. يجب أن تكون هذه أخبارًا مرحبًا بها لمدراء الأمن الذين يمكنهم تكرار النتائج وبناء نموذج بقاء محدد للبائع من خلال الوصول المفتوح إلى الثغرات الصفرية جنبًا إلى جنب مع خصائص الثغرات من خلال NVD. يمكن أن تفيد هذه النتائج المدراء الذين يرغبون في لعب دور أساسي في أمن المعلومات داخل المنظمات.
أخيرًا، يجب أن تكون نتائج هذه الدراسة ذات أهمية عملية للمستهلكين/الشركات الذين يعتمدون على التطبيقات الحيوية لمورد التكنولوجيا المتأثر والذين يسعون لتقليل الاستغلالات المحتملة من نوع زيرو داي. يمكن لهؤلاء المستهلكين/الشركات اتخاذ قرارات أفضل فيما يتعلق بالاستثمار في الأمن [52]، وتأمين برامجهم، وتخصيص الموارد البشرية وغير البشرية، ومنع الهجمات المحتملة.

تهديدات للصلاحية

في هذا القسم، نفحص التهديدات المحتملة لصحة نتائجنا ونصنف مخاوفنا إلى ثلاثة أقسام، وهي الصحة الداخلية، والصحة الخارجية، وصحة الاستنتاج.

الصلاحية الداخلية

في هذه الدراسة، اعتبر النموذج المقترح تأثيرات السمات المتعلقة بالضعف والمتغيرات الضابطة على وقت إصدار التصحيح. ومع ذلك، لا يعني ذلك وجود علاقة سببية. كما ذُكر في المقدمة، هذه دراسة استكشافية تفحص تأثيرات بعض المتغيرات المشتركة. خلال عملية تطوير التصحيح، قد تؤثر عوامل أخرى على وقت الإصدار، مثل جودة الشيفرة، والموارد المخصصة من الشركات لفريق التطوير، بالإضافة إلى أدوات التطوير ولغات البرمجة المستخدمة.
ومع ذلك، نقدم تفسيرًا يدعم حقيقة أن النموذج المقترح قد يلعب دورًا في التأثير على وقت إصدار التصحيحات. نظرًا لقيود مجموعة البيانات، لم يكن من الممكن التقاط هذه المعلومات وإدراجها في النموذج. قد تبحث الأبحاث المستقبلية في التأثيرات على المتغيرات المذكورة أعلاه. تهديد آخر هو أن الثغرات الأمنية التي تم الإبلاغ عنها من قبل ZDI قد تكون معروفة بالفعل من قبل بائع تكنولوجيا المعلومات المتأثر. قد يؤثر ذلك على دقة قياس المتغير الناتج (وقت إصدار التصحيحات). ومع ذلك، نظرًا للقيمة المالية الممنوحة للباحثين في الأمن، نفترض أن ZDI تبحث وتتحقق من كل تقديم لضمان أصالة الثغرات الأمنية من نوع صفر يوم. أخيرًا، تهديد للصلاحية الداخلية هو أن هذه الدراسة لم تأخذ في الاعتبار تأثير الثغرات الأمنية السابقة من نوع صفر يوم على وقت إصدار التصحيحات. بعبارة أخرى، قد يؤثر الكشف المتكرر عن الثغرات الأمنية من نوع صفر يوم على سرعة إصدار التصحيحات من الشركات المتأثرة. قد تستفيد الدراسات المستقبلية من إجراء نماذج انحدار كوكس مع نموذج الأحداث المتكررة للتحقق مما إذا كانت النتائج حساسة لاستبعاد الإفصاحات اللاحقة عن الثغرات الأمنية من نوع صفر يوم.

الصلاحية الخارجية

تهديد واحد هو اختيار مجموعة البيانات. في هذه الدراسة، تم جمع مجموعة بيانات الثغرات صفرية اليوم من مصدر واحد وهو ZDI. هذا يحد من حجم العينة ويشكل تهديدًا للصلاحية الخارجية؛ وبالتالي، لا يمكننا تعميم نتائج هذه الدراسة على جميع الثغرات صفرية اليوم. لتحسين قابلية التعميم وأهمية الملاحظات، من المثالي جمع البيانات من مصادر مختلفة مثل Google Project Zero وiDefense وبرنامج مساهمي الثغرات (VCP) والويب المظلم. ومع ذلك، نرى أن ZDI كانت المصدر الوحيد الذي يتمتع بمستوى عالٍ من الشفافية وقدم المعلومات الزمنية اللازمة لهذه الدراسة؛ وبالتالي، اعتُبر مناسبًا للمشروع.
تهديد آخر للصلاحية الخارجية هو تصنيفات المتغيرات المستقلة ومتغيرات التحكم. على وجه التحديد، في التحليلات الفرعية، قمنا بتجميع المتغيرات الفئوية إلى مستويات متعددة للتخفيف من المشكلات المتعلقة بحجم العينة المنخفض لكل مستوى. يقتصر تحديد البنى على مستويات معينة على أن ليس جميع المستويات كانت ممثلة في التحليل والنتائج محدودة بالتصنيفات. ومع ذلك، نظرًا لأن قاعدة بيانات ZDI يتم تحديثها باستمرار مع ثغرات جديدة من نوع صفر يوم، يمكن التخفيف من هذا التهديد من خلال جمع المزيد من البيانات.

صحة الاستنتاج

تهديد واحد لصحة الاستنتاج يتعلق بسوء استخدام الافتراضات الإحصائية أو نقص الحسابات الإحصائية التي قد تؤدي إلى استنتاجات غير صحيحة. لتجنب مثل هذه التهديدات، أولاً، اخترنا نموذج الانحدار كوكس الذي لا يتطلب تحديد توزيع الاحتمالات لأوقات البقاء. علاوة على ذلك، تم ضبط نماذج الانحدار كوكس بحدود صارمة على مستويات الدلالة.

الخاتمة

في هذا العمل، تم تقديم نموذج للبقاء لقياس وقت إصدار التصحيحات لثغرات اليوم صفر. باستخدام مجموعة بيانات الثغرات الملتقطة من ZDI، استخدمنا طريقة تحليل كوكس، وأجرينا تحليلات فرعية باستخدام تقنية K-M، وقيمنا قوة النتائج. استنادًا إلى إحصائيات الملاءمة، أظهرت النتائج أن تحليل البقاء مهم ومفيد لفحص توقيت إصدار التصحيحات. وجدنا أن بائعي تكنولوجيا المعلومات سريعون في إصدار التصحيحات في الوقت المناسب لثغرات اليوم صفر التي تؤدي إلى تغيير في النطاق وتؤثر على المزيد من البائعين والمنتجات والإصدارات، بينما من غير المرجح أن يتم تصحيح الثغرات التي تتطلب امتيازات وتؤثر على السرية في الوقت المحدد.
أظهرت النتائج أيضًا أن البرمجيات الشخصية لديها أقل وقت إصدار تصحيح وسطي، في حين أن البرمجيات المؤسسية لديها أعلى وقت إصدار تصحيح وسطي. أخيرًا، أظهرت النتائج أن نوع الثغرة CWE-416 لديه أقل وقت إصدار تصحيح وسطي، بينما CWE-704 لديه أعلى وقت إصدار تصحيح وسطي.

القيود والبحوث المستقبلية

على الرغم من أن هذه الدراسة تقدم عددًا من المساهمات في مجال تصحيح الثغرات، إلا أن لديها بعض القيود. القيد الأول هو بيانات العينة. قامت دراستنا بتحليل الثغرات التي تم الإبلاغ عنها في يوم الصفر من مصدر واحد، وهو ZDI. بينما توجد برامج مكافآت الأخطاء الأخرى ذات السمعة الطيبة، فقد قمنا بتقييد عيّنتنا إلى ZDI نظرًا لمستوى الشفافية، والوصول المفتوح، وجودة بياناتهم. قد تستفيد الأبحاث المستقبلية من استكشاف بيانات من برامج مكافآت الأخطاء الأخرى. القيد الثاني هو أن تحليلنا اعتمد على بيانات تنتمي إلى سوق “الأبيض” لبرامج مكافآت الأخطاء. لذلك، لم تأخذ نتائجنا في الاعتبار مصادر الإفصاح الأخرى التي تنتمي إلى الأسواق “الرمادية” و”السوداء”. نظرًا للصعوبات في الوصول إلى مثل هذه الأسواق وحساسية الموضوع، نعتقد أن جمع هذا النوع من البيانات قد يقدم مشكلات تتعلق بالنزاهة وجودة البيانات. تشمل اتجاهات البحث المستقبلية تحسين دقة النموذج المقترح. هذا ممكن من خلال النظر في عوامل إضافية مثل التكلفة التقديرية لتطوير تصحيحات الأمان، المصدر الأصلي للإفصاح، وعوامل على مستوى الشركة (مثل حجم الشركة، نفقات البحث والتطوير، وحصة السوق) التي قد تؤثر على احتمال إصدار التصحيحات في الوقت المناسب. القيد الثالث هو أن معظم أنواع المنتجات في عيّنتنا هي برامج مغلقة المصدر. وبالتالي، قد لا تكون نتائجنا قابلة للتطبيق على المشاريع مفتوحة المصدر. مع توفر المزيد من البيانات، نوصي بإجراء تحليل البقاء لمقارنة ما إذا كان وقت إصدار التصحيحات يختلف بين المشاريع مفتوحة ومغلقة المصدر. رابعًا، اعتبرت هذه الدراسة فقط ثمانية خصائص للثغرات (متجه الهجوم، تعقيد الهجوم، الامتيازات المطلوبة، تفاعل المستخدم، النطاق، وتأثيرات CIA). كان اختيار هذه الخصائص محدودًا بالبيانات المتاحة في NVD. حسب علمنا، NVD هو المصدر الوحيد الذي يوفر بيانات متعلقة بالثغرات لعينة كبيرة من الثغرات؛ لذلك، كان الخيار المناسب لهذه الدراسة. قد تستفيد الدراسات المستقبلية من استخراج خصائص أخرى متعلقة بالثغرات مباشرة من البائعين. أخيرًا، يمكن أن تستفيد الأبحاث المستقبلية أيضًا من ملاءمة نماذج أخرى قائمة على القرار، بما في ذلك أشجار القرار التي لم يتم النظر فيها في هذه الدراسة.

References

  1. NVD. National Vulnerability Database. 2020. https://nvd.nist.gov/. (5 January 2021, date last accessed).
  2. Arora A, Krishnan R, Telang R. et al. An empirical analysis of software vendors’ patch release behavior: impact of vulnerability disclosure. Inf Syst Res 2010;21:115-32.
  3. Arora A, Nandkumar A, Telang R. Does information security attack frequency increase with vulnerability disclosure? An empirical analysis. Inf Syst Front 2006;8:350-62.
  4. Ioannidis C, Pym D, Williams J. Information security trade-offs and optimal patching policies. Eur J Oper Res 2012;216:434-44.
  5. Constantin L. Oracle knew about currently exploited Java vulnerabilities for months, researcher says. 2012. https://www.pcworld.com/article/26 1612/oracle_knew_about_currently_exploited_java_vulnerabilities_for _months_researcher_says.html. (18 February 2021, date last accessed).
  6. Menn J. Microsoft knew about a Word bug that put millions of computers at risk but waited 6 months to fix it. 2017. https://www.businessinside r.com/hackers-microsoft-word-flaw-reuters-2017-4. (18 February 2021, date last accessed).
  7. Cavusoglu H, Cavusoglu H, Zhang J. Security patch management: share the burden or share the damage?. Manag Sci 2008;54:657-70.
  8. Huang C, Liu J, Fang Y. et al. A study on web security incidents in China by analyzing vulnerability disclosure platforms. Comput Secur 2016;58:47-62.
  9. Narang S, Kapur PK, Damodaran D. et al. Bi-criterion problem to determine optimal vulnerability discovery and patching time. Int J Reliab Qual Saf Eng 2018;25:1850002.
  10. Tickoo A, Kapur PK, Shrivastava AK. et al. Discrete-time framework for determining optimal software release and patching time. In: Quality, IT and Business Operations. Singapore: Springer, 2018, 129-41.
  11. Choudhary C, Kapur PK, Shrivastava AK. et al. Software release and patching time with warranty using change point. In: Quality, IT and Business Operations. Singapore: Springer, 2018, 369-82.
  12. Choudhary C, Kapur PK, Khatri SK. et al. Effort-based release and patching time of software with warranty using change point. Int J Perform Eng 2019;15:1724-33.
  13. Kansal Y, Singh G, Kumar U. et al. Optimal release and patching time of software with warranty. Int J Syst Assur Eng Manag 2016;7: 462-8.
  14. Jo AM. The effect of competition intensity on software security-an empirical analysis of security patch release on the web browser market. In: Proceedings of the 16th Annual Workshop on the Economics of Information Security (WEIS 2017), San Diego, 2017.
  15. Nicastro FM. Security Patch Management. Boca Raton, FL: CRC Press, 2011.
  16. Roumani Y, Nwankpa J. Examining exploitability risk of vulnerabilities: a hazard model. Commun Assoc Inform Syst 2020;46:18.
  17. Maurice E. Oracle’s Security Fixing Practices. 2017. https://blogs.orac le.com/oraclesecurity/oracle-security-fixing-practices. (6 February 2021, date last accessed).
  18. Gerace T, Cavusoglu H. The critical elements of the patch management process. Commun ACM 2009;52:117-21.
  19. Beres Y, Griffin J. Optimizing network patching policy decisions. In: IFIP international information security conference. Berlin, Heidelberg: Springer, 2012, 424-42.
  20. McAllister N. Adobe switches Flash fix schedule to Patch Tuesdays, 2012. https://www.theregister.co.uk/2012/11/08/adobe_switching_t o_patch_tuesday/. (29 January 2021, date last accessed).
  21. Cox DR. Regression models and life-tables. Stat Soc (Methodological) 1972;34:187-202.
  22. Kaplan EL, Meier P. Nonparametric estimation from incomplete observations. J Am Statist Assoc 1958;53:457-81.
  23. Gemar G, Soler IP, Guzman-Parra VF. Predicting bankruptcy in resort hotels: a survival analysis. Int J Contemp Hosp Manag 2019;31:154666.
  24. Kim S, Chang M, Park J. Survival analysis for Hispanic ELL students’ access to postsecondary schools: discrete model or Cox regression?. Int J Res Method in Educ 2018;41:514-35.
  25. Yu FW, Ho WT. Assessing operating statuses for chiller system with Cox regression. Int J Refrig 2019; 98:182-93.
  26. Li P, Rao HR. An examination of private intermediaries’ roles in software vulnerabilities disclosure. Inf Syst Front 2007;9:531-9.
  27. Arora A, Telang R, Xu H. Optimal policy for software vulnerability disclosure. Manag Sci 2008; 54:642-56.
  28. Dey D, Lahiri A, Zhang G. Optimal policies for security patch management. INFORMS J Comput 2015;27:462-77.
  29. Temizkan O, Kumar RL, Park S. et al. Patch release behaviors of software vendors in response to vulnerabilities: an empirical analysis. J Manag Inf Syst 2014; 28:305-38.
  30. Sen R, Heim GR. Managing enterprise risks of technological systems: an exploratory empirical analysis of vulnerability characteristics as drivers of exploit publication. Decis Sci 2016;47:1073-102.
  31. Choudhary V, Zhang Z. Research note-patching the cloud: the impact of SaaS on patching strategy and the timing of software release. Inf Syst Res 2015;26:845-58.
  32. Mitra S, Ransbotham S. Information disclosure and the diffusion of information security attacks. Inf Syst Res 2015;26:565-84.
  33. August T, Tunca TI. Let the pirates patch? An economic analysis of software security patch restrictions. Inf Syst Res 2008;19:48-70.
  34. Kannan K, Rahman MS, Tawarmalani M. Economic and policy implications of restricted patch distribution. Manag Sci 2016;62:3161-82.
  35. Cox DR. The regression analysis of binary sequences. Stat Soc B (Methodological) 1958;20:215-32.
  36. Allison PD. Survival Analysis Using SAS: A Practical Guide. Cary, NC: SAS Institute, 2010.
  37. Cox DR, Oakes D. Analysis of Survival Data. Boca Raton, FL: CRC Press, 1984.
  38. ZDI. Disclosure Policy. 2020. https://www.zerodayinitiative.com/adviso ries/disclosure_policy/. (1 March 2021, date last accessed).
  39. CVSS 3.0. Common Vulnerability Scoring System v3.0: Specification Document. Forum of Incident Response and Security Teams. https:// www.first.org/cvss/v3.0/specification-document. (4 March 2021, date last accessed).
  40. Chung YC, Wu MC, Chen YC. et al. A hot query bank approach to improve detection performance against SQL injection attacks. Comput Secur 2012; 31:233-48.
  41. VMWare. VMSA-2017-0018.1. 2017. https://www.vmware.com/secur ity/advisories/VMSA-2017-0018.html. (15 February 2021, date last accessed).
  42. Saltzer JH, Schroeder MD. The protection of information in computer systems. Proc IEEE 1975;63:1278-308.
  43. Hedström K, Kolkowska E, Karlsson F. et al. Value conflicts for information security management. J Strateg Inf Syst 2011;20:373-84.
  44. Austin PC, Allignol A, Fine JP. The number of primary events per variable affects estimation of the subdistribution hazard competing risks model. Clin Epidemiol 2017;83:75-84.
  45. ISTR. Internet Security Threat Report. 2019. https://docs.broadcom.com/ doc/istr-24-2019-en. (17 February 2021, date last accessed).
  46. Kaplan EL, Meier P. Nonparametric estimation from incomplete observations. J Am Statist Assoc 1958;53:457-81.
  47. CWE. Common Weakness Enumeration. 2020. https://cwe.mitre.org/da ta/index.html. (24 January 2021, date last accessed).
  48. Wei LJ. The accelerated failure time model: a useful alternative to the Cox regression model in survival analysis. Stat Med 1992;11:1871-9.
  49. Briggs RO, Nunamaker JF. The growing complexity of enterprise software. 2020.
  50. Lowry PB, Dinev T, Willison R. Why security and privacy research lies at the centre of the information systems (IS) artefact: proposing a bold research agenda. Eur J Inf Syst 2017;26:546-63.
  51. Soomro ZA, Shah MH, Ahmed J. Information security management needs more holistic approach: a literature review. Int I Inf Manage 2016;36:215-25.
  52. Miaoui Y, Boudriga N. Enterprise security investment through time when facing different types of vulnerabilities. Inf Syst Front 2019;21:261-300.
  53. Microsoft Security Response Center. Security Update Guide. 2021. http s://msrc.microsoft.com/update-guide/vulnerability. (7 March 2021, date last accessed).
  54. Red Hat. Security Bulletins. 2021. https://access.redhat.com/security/vul nerabilities. (9 February 2021, date last accessed).

الملحق أ: تحليل المتانة

الجدول A1: نموذج الفشل المعجل.
المتغيرات المستقلة
اعتراض 0.07*** (0.20)
نمط الهجوم -0.35 (0.11)
تعقيد الهجوم 0.18* (0.04)
المزايا المطلوبة -0.33** (0.12)
تفاعل المستخدم 0.10 (0.09)
نطاق 0.26* (0.05)
أثر السرية – 0.33* (0.18)
أثر النزاهة – 0.09 (0.20)
أثر التوافر 0.03 (0.34)
متغيرات التحكم
درجة الشدة -0.01 (0.08)
عدد البائعين المتأثرين 0.10*** (0.04)
عدد المنتجات المتأثرة 0.03*** (0.01)
عدد الإصدارات المتأثرة 0.01*** (0.00)
.
.
.
; الأخطاء القياسية بين قوسين.