映射cve和ATT&CK框架TTPs:一种经验方法

来源:https://www.nopsec.com/blog/mapping-cves-and-attck-framework-ttps-an-empirical-approach/

对漏洞和攻击进行划分和分类对于理解漏洞是如何被利用的以及漏洞是如何通过不同的步骤(包括侦察、漏洞检测、利用、特权升级、横向移动和泄露)展开的非常重要。

本文重点介绍如何在CVE、CAPEC、CWE和ATT&CK漏洞和攻击分类之间建立桥梁/关联,以便更好地理解攻击向量和方法。

一、映射cve和ATT&CK框架TTPs:建立基线

1.1 CVE分类法

最重要和公认的漏洞分类和分类法是CVE计划-常见漏洞和暴露,其定义为:

CVE®项目的任务是识别、定义和分类公开披露的网络安全漏洞。目录中的每个漏洞都有一个CVE记录。这些漏洞被发现,然后由来自世界各地与CVE计划合作的组织分配和发布。合作伙伴发布CVE记录以交流一致的漏洞描述。信息技术和网络安全专业人员使用CVE记录来确保他们讨论的是同一个问题,并协调他们的努力来优先考虑和解决漏洞。”

CVE是一个对漏洞进行分类的术语表。术语表分析漏洞,然后使用通用漏洞评分系统(CVSS)来评估漏洞的威胁级别,主要是从技术角度进行评估。

二、CVSS框架

通用漏洞评分系统(CVSS)是一个用于沟通软件漏洞特征和严重性的开放框架。CVSS由三个度量组组成:基础、时间和环境。基础指标产生一个从0到10的分数,然后可以通过对时间和环境指标进行评分来修改这个分数。CVSS分数也表示为向量字符串,这是用于派生分数的值的压缩文本表示。因此,CVSS非常适合作为需要精确和一致的漏洞严重程度评分来确定漏洞优先级的行业、组织和政府的标准测量系统。国家漏洞数据库(NVD)提供了几乎所有已知漏洞的CVSS评分。

NVD同时支持CVSS (Common Vulnerability Scoring System) v2.0和v3.X版本标准。NVD提供CVSS“基础评分”,代表每个漏洞的固有特征。NVD目前不提供“时间分数”(由于漏洞外部事件而随时间变化的指标)或“环境分数”(为反映漏洞对组织的影响而定制的分数)。然而,NVD确实为CVSS v2和v3提供了一个CVSS计算器,以允许您添加时间和环境评分数据,但仅依赖CVSS是不够的。

在CVSS得分3.1,这些是得分的基础得分的组成部分:


来源:First.Org,通用漏洞评分系统v3.1:规范文档

基本度量组表示漏洞的内在特征,这些特征随时间和用户环境的变化而不变。它由两组指标组成:可利用性指标和影响指标。

可利用性指标反映了漏洞被利用的容易程度和技术手段。也就是说,它们代表了易受攻击的事物的特征,我们正式地称之为易受攻击的部分。

影响指标反映了成功利用的直接后果,并表示对遭受影响的事物的后果,我们将其正式称为受影响组件。

虽然易受攻击的组件通常是软件应用程序、模块、驱动程序等(也可能是硬件设备),但受影响的组件可能是软件应用程序、硬件设备或网络资源。此属性由Scope度量捕获,该度量反映一个组件中的漏洞是否会影响组件之外的资源。

时间度量组反映了漏洞的特征,这些特征可能会随着时间而变化,但不会随着用户环境而变化。例如,一个简单易用的漏洞利用工具包会增加CVSS得分,而创建一个官方补丁会降低它。

环境度量组表示与特定用户环境相关且唯一的漏洞特征。考虑因素包括安全控制的存在,这可能减轻成功攻击的部分或全部后果,以及技术基础设施中易受攻击系统的相对重要性。

三、MITRE CAPEC目录

MITRE CAPEC是已知攻击模式的全面字典,对手利用软件应用程序、硬件设备和物联网设备中的弱点。美国国土安全部最初于2007年发布该标准,旨在通过开发阶段的安全意识来提高软件的安全性。截至2021年的当前版本是3.7版本,有546种攻击模式。CAPEC攻击模式分为6个“域”和9个“机制”。

攻击范围:

软件

硬件

沟通

供应链

社会工程

物理安全

攻击机制:

参与欺骗性互动

滥用现有功能

操作数据结构

操作系统资源

注入意想不到的物品

运用概率技术

操作时间和状态

收集和分析信息

颠覆访问控制

CAPEC概要文件中的信息是广泛的。例如,capec包括用于跟踪和关联的ID、攻击名称、高级描述、攻击执行过程、攻击先决条件、严重范围和评分、攻击者技能要求、攻击成功率和到CWE (Common Weakness Enumeration)的映射。

CAPEC分类法为每个攻击模式包含到相关CWEs的全面映射,CWEs又可以映射到cve,但它还包含到ATT&CK ttp的直接映射。这是capec、CWEs和ATT&CK ttp之间详细映射的一个清晰示例:https://capec.mitre.org/data/definitions/636.html

映射到CWE极大地扩展了CAPEC的能力,因为CWE可以从CVE产品漏洞关联到高级攻击模式。

在高级攻击信息和特定产品漏洞之间的遍历可以增强威胁情报和缓解工作。一份广泛的MIT白皮书提供了将CAPECs缝合到MITRE ATT&CK和CWE, CVE, CVSS和CPE数据的详细描述。

下图显示了CAPEC的扩展如何从高信息扩展到低信息。

来源:fnCyber,“CAPEC -常见攻击模式枚举和分类”

例如,让我们看看在2020年发现的CVE-2020-16875。

NIST丰富的CVE详细信息包括“弱点枚举”字段,表示相关CWE类别和其他有价值的信息,如供应商咨询和补救信息、CVSS(通用漏洞评分系统)和CPE(通用平台枚举),将漏洞映射到特定产品。

在这种情况下,CVE表示严重评分为7.2,并影响2013年至2019年之间的Microsoft Exchange Server软件版本的累积更新。列出的CWE类别是CWE-74下游组件使用的输出中特殊元素的不适当中和和CWE-269不适当的特权管理。

此外,从CWE到CAPEC,揭示了与不适当的输入处理和CAPEC-233相关的几个类别:特权升级。完整的CAPEC、CWE和CVE数据可从MITRE公开获得,扩展的CVE到CWE和CPE可从NIST获得。

MITRE ATT&CK将网络攻击活动的各种战术与特定的技术和程序(TPP)联系起来。该框架允许洞察网络攻击元素链,以实现恶意的最终目标。

像ATT&CK一样,CAPEC从战术、技术和程序(TTP)的角度来处理攻击模式。然而,在总共546个CAPEC中,有112个已经通过“与ATT&CK相关的分类映射”字段直接映射到ATT&CK战术和技术,该字段可在ATT&CK中列出的相关CAPEC的244门课程中获得。

因此,同时使用ATT&CK和CAPEC对于全面的安全角度是必要的。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,839评论 6 482
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,543评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 153,116评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,371评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,384评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,111评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,416评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,053评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,558评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,007评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,117评论 1 334
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,756评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,324评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,315评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,539评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,578评论 2 355
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,877评论 2 345

推荐阅读更多精彩内容