雷德蒙德最近发表了他们关于其领先产品安全性的半年回顾。这个微软安全情报报告(MSIR),大约两周前发布,为2007年下半年(7月- 12月)提供了一个“深入的视角”。像往常一样,一份带有统计数据和图表的专业报告呈现给读者。尽管如此,后成功地下载并阅读他们的关键发现摘要,它似乎是由微软鲍勃还有克里皮。
我知道在快节奏的安全博客世界里,谈论MSIR的发布到现在已经是老生常谈了。然而,我想我会等一两周,看看人们是否真的阅读和分析了这份报告。因为我还没有读到任何怀疑或批评,所以我只能假设答案是否定的。拿着我的红色钢笔,我已经下载并彻底阅读了同一时期的类似供应商报告。我认为微软可能有一些值得怀疑的图表、统计数据和声明。
重要的是要记住,这些报告根据各自收集的数据呈现其调查结果,这些数据可能存在很大差异。但是,有足够大的数据集合,研究往往会产生类似的趋势结果。微软的报告也不例外,它呈现了许多与其他供应商研究相同的趋势。虽然这可能是一个功能,微软的使用份额操作系统和web浏览器.
虽然他们提供的一些数据更多的是推测性的,而不是权威性的,但MSIR的最终崩溃是由于缺乏数据和图表的标准化和澄清。由于错误的假设和缺乏相关变量,许多比较统计数据变得毫无意义。事实上,过了一段时间读起来很痛苦。
该报告以一些关于漏洞披露的声明开始。他们注意到新的漏洞披露减少了15%,高严重性漏洞的披露减少了。根据IBM的Internet Security Systems X-Force 2007 Trend Statistics报告,他们没有提到微软对其产品中披露的漏洞负有最高的供应商责任,占2007年所有报告的3.7%。无论如何,对漏洞披露数量的评论是一个难以解释的统计数据。历史上在美国,披露信息的不同动机和趋势一直是一个主题辩论,最近有所改变想法受经济影响。
如果把他们对漏洞趋势的讨论作为安全补丁的一个功能,将会提供更多的上下文意义。突出显示了低复杂性漏洞的减少,人们可能会假设补丁也有同样的趋势。他们继续指出,高度严重的漏洞更难以利用,需要某种程度的专门化。总是这样吗?一旦暴露,许多可利用的漏洞在修补之前可能会产生严重的后果。
微软将公开可用的攻击代码与相应的CVE标识符和微软安全公告进行了匹配。他们展示了2006年和2007年年度公告数量作为独特漏洞的函数,表明去年公告数量和每个公告的独特漏洞数量都有所下降。但是,没有提到漏洞的严重程度、受影响产品的数量、补丁部署前的时间或被利用的结果。
当进行产品的副产品比较时,他们发现较新的产品似乎比较早的产品更安全。让我们看看…更新的产品,更安全....老产品,不安全……听起来差不多。事实上,这句话的明显性使我质疑这条逻辑之路通向哪里。为了说明这一点,我们注意到Microsoft Office的被利用风险从Office 2000降到Office XP,从Office XP到2003再一次下降,然后从2003到2007再一次下降。没有惊喜。在总结中,他们自豪地宣称Office 2007系统的风险“与Office 2000相比显著降低了41.3%”。他们是否因为展示了office2000优越的安全性而沦落到营销office2007 ?他们指的是在2005年6月退出主流支持的微软Office 2000吗?
他们的评论关于安全漏洞的通知“作为对安全失败的一个镜头”是毫无意义的。关于安全漏洞通知,可以找到数百份报告和深入的研究。即使是那些由于“自我报告”的有效性也值得怀疑违反只占真实数字的一小部分。如果公司确实存在安全漏洞,他们是否直接向Microsoft报告?当我看到他们关于安全漏洞的两个要点所附的图表时,将其包括在内的原因就显而易见了。它显示了一个未正确使用的条形图,绘制了违约类型与违约总数的百分比,因此快速浏览会给人一种印象,即某些安全指标随着时间的推移而降低。
下一节介绍了恶意软件,作为他们“无所不知、无所察觉、无所报告”的竞选平台,恶意软件清除工具(统计)。同样,它们提供的数据在缺乏上下文的情况下显得毫无用处。声明只有MSRT删除的恶意软件总量增加了40%,这完全没有意义。这种增长是由于恶意软件数量的增长吗?还是MSRT的广泛使用?是否因为MSRT在启动时就能运行,并且在Ad-aware和Spybot有机会运行之前就把容易摘到的水果拿走了?还是MSRT之前什么都没做,现在什么都没做,比以前提高了40% ?
事实上,我不知道为什么MSRT在关于恶意软件趋势的讨论中被提及。Microsoft描述了MSRT在其应用程序上的强大功能网站,通过吹嘘“该工具只删除特定的、普遍的恶意软件。”特定的、流行的恶意软件是当今存在的所有恶意软件的一个小子集”,然后加上“该工具无法删除未运行的恶意软件。”然而,防病毒产品可以执行此任务。”很强大的东西。
他们没有做出任何声明,声明MSRT可能不会向Microsoft报告。许多隐私权倡导者,像我一样,从不允许收集任何有关互联网活动的信息并发送给3研发部派对。(除非这是一个非常好的聚会。)因此,您可能会有个人运行MSRT,他们创建了注册表项,
微软软件注册表子项:HKEY_LOCAL_MACHINE \ \政策\ \捷运条目名称:\DontReportInfectionInformation
类型:REG_DWORD
值数据:1
这将禁用其报告功能。出于某种原因,他们继续评论间谍软件的流行率下降,尽管前面提到的同一个MSRT网站说,“它不会删除间谍软件。”可笑的是,微软的间谍软件删除工具Windows Defender在报告文本中从未被提过一次。它仅在图9中引用,图9是“如何不表示数据”的众多示例之一
显然,这份报告的图表是在到期前一天晚上创建的,这是一种我可以理解的方法。与许多行业供应商一样,微软似乎缺少受过有效图形设计基本原则和实践培训的人员。MSIR很好地说明了这一点。他们错误地使用了图1中的非标准化堆积条形图来显示漏洞随时间的严重程度。他们称之为图5的是一个被错误缩放的聚集柱形图。Y轴上量化的消毒数量太多,无法代表X轴上的众多类别。此外,表示时间段的彩色图例没有按时间顺序列出(这是时间等变量的一个重要特征)。
他们创造性地将流程循环图与饼图组合在一起,创建了一个令人困惑的混合图,称为图6。它试图显示操作系统版本使用MSRT清理的计算机的标准化数量。相反,多色的圆圈展示了为什么不使用相似的相邻颜色,以及饼状图应该如何按照大小排序,以方便解释和意义(这两点在这里都没有)。我不会评论所有的图表,而是建议他们买一份爱德华•塔夫特的定量信息的可视化显示,阅读,记忆,随时携带。
在这一点上,推断统计的使用不当、变量关系的缺乏、统计相关性的缺乏,以及它基本上不包含任何表示因果关系的信息,这可能是矫枉过正的。
你得相信我的话。
不过,我真的很感谢他们的努力,相信他们已经尽力了。说到安全情报报告,每个人都是赢家!
谢谢你玩。我可以在:greyhat@computer.org