映射cve和ATT&CK框架TTPs一种经验方法

对漏洞和攻击进行划分和分类对于理解漏洞是如何被利用的以及漏洞是如何通过不同的步骤(包括侦察、漏洞检测、利用、特权升级、横向移动和泄露)展开的非常重要。

本文重点介绍如何在CVE、CAPEC、CWE和ATT&CK漏洞和攻击分类之间建立桥梁/关联，以便更好地理解攻击向量和方法。

一、映射cve和ATT&CK框架TTPs:建立基线

1.1 CVE分类法

最重要和公认的漏洞分类和分类法是CVE计划-常见漏洞和暴露，其定义为:

CVE®项目的任务是识别、定义和分类公开披露的网络安全漏洞。目录中的每个漏洞都有一个CVE记录。这些漏洞被发现，然后由来自世界各地与CVE计划合作的组织分配和发布。合作伙伴发布CVE记录以交流一致的漏洞描述。信息技术和网络安全专业人员使用CVE记录来确保他们讨论的是同一个问题，并协调他们的努力来优先考虑和解决漏洞。”

CVE是一个对漏洞进行分类的术语表。术语表分析漏洞，然后使用通用漏洞评分系统(CVSS)来评估漏洞的威胁级别，主要是从技术角度进行评估。

二、CVSS框架

通用漏洞评分系统(CVSS)是一个用于沟通软件漏洞特征和严重性的开放框架。CVSS由三个度量组组成:基础、时间和环境。基础指标产生一个从0到10的分数，然后可以通过对时间和环境指标进行评分来修改这个分数。CVSS分数也表示为向量字符串，这是用于派生分数的值的压缩文本表示。因此，CVSS非常适合作为需要精确和一致的漏洞严重程度评分来确定漏洞优先级的行业、组织和政府的标准测量系统。国家漏洞数据库(NVD)提供了几乎所有已知漏洞的CVSS评分。

NVD同时支持CVSS (Common Vulnerability Scoring System) v2.0和v3.X版本标准。NVD提供CVSS“基础评分”，代表每个漏洞的固有特征。NVD目前不提供“时间分数”(由于漏洞外部事件而随时间变化的指标)或“环境分数”(为反映漏洞对组织的影响而定制的分数)。然而，NVD确实为CVSS v2和v3提供了一个CVSS计算器，以允许您添加时间和环境评分数据，但仅依赖CVSS是不够的。

在CVSS得分3.1，这些是得分的基础得分的组成部分:

来源:First.Org，通用漏洞评分系统v3.1:规范文档

基本度量组表示漏洞的内在特征，这些特征随时间和用户环境的变化而不变。它由两组指标组成:可利用性指标和影响指标。

可利用性指标反映了漏洞被利用的容易程度和技术手段。也就是说，它们代表了易受攻击的事物的特征，我们正式地称之为易受攻击的部分。

影响指标反映了成功利用的直接后果，并表示对遭受影响的事物的后果，我们将其正式称为受影响组件。

虽然易受攻击的组件通常是软件应用程序、模块、驱动程序等(也可能是硬件设备)，但受影响的组件可能是软件应用程序、硬件设备或网络资源。此属性由Scope度量捕获，该度量反映一个组件中的漏洞是否会影响组件之外的资源。

时间度量组反映了漏洞的特征，这些特征可能会随着时间而变化，但不会随着用户环境而变化。例如，一个简单易用的漏洞利用工具包会增加CVSS得分，而创建一个官方补丁会降低它。

环境度量组表示与特定用户环境相关且唯一的漏洞特征。考虑因素包括安全控制的存在，这可能减轻成功攻击的部分或全部后果，以及技术基础设施中易受攻击系统的相对重要性。

三、MITRE CAPEC目录

MITRE CAPEC是已知攻击模式的全面字典，对手利用软件应用程序、硬件设备和物联网设备中的弱点。美国国土安全部最初于2007年发布该标准，旨在通过开发阶段的安全意识来提高软件的安全性。截至2021年的当前版本是3.7版本，有546种攻击模式。CAPEC攻击模式分为6个“域”和9个“机制”。

攻击范围:

软件

硬件

沟通

供应链

社会工程

物理安全

攻击机制:

参与欺骗性互动

滥用现有功能

操作数据结构

操作系统资源

注入意想不到的物品

运用概率技术

操作时间和状态

收集和分析信息

颠覆访问控制

CAPEC概要文件中的信息是广泛的。例如，capec包括用于跟踪和关联的ID、攻击名称、高级描述、攻击执行过程、攻击先决条件、严重范围和评分、攻击者技能要求、攻击成功率和到CWE (Common Weakness Enumeration)的映射。

CAPEC分类法为每个攻击模式包含到相关CWEs的全面映射，CWEs又可以映射到cve，但它还包含到ATT&CK ttp的直接映射。这是capec、CWEs和ATT&CK ttp之间详细映射的一个清晰示例:https://capec.mitre.org/data/definitions/636.html

映射到CWE极大地扩展了CAPEC的能力，因为CWE可以从CVE产品漏洞关联到高级攻击模式。

在高级攻击信息和特定产品漏洞之间的遍历可以增强威胁情报和缓解工作。一份广泛的MIT白皮书提供了将CAPECs缝合到MITRE ATT&CK和CWE, CVE, CVSS和CPE数据的详细描述。

下图显示了CAPEC的扩展如何从高信息扩展到低信息。

来源:fnCyber，“CAPEC -常见攻击模式枚举和分类”

例如，让我们看看在2020年发现的CVE-2020-16875。

NIST丰富的CVE详细信息包括“弱点枚举”字段，表示相关CWE类别和其他有价值的信息，如供应商咨询和补救信息、CVSS(通用漏洞评分系统)和CPE(通用平台枚举)，将漏洞映射到特定产品。

在这种情况下，CVE表示严重评分为7.2，并影响2013年至2019年之间的Microsoft Exchange Server软件版本的累积更新。列出的CWE类别是CWE-74下游组件使用的输出中特殊元素的不适当中和和CWE-269不适当的特权管理。

此外，从CWE到CAPEC，揭示了与不适当的输入处理和CAPEC-233相关的几个类别:特权升级。完整的CAPEC、CWE和CVE数据可从MITRE公开获得，扩展的CVE到CWE和CPE可从NIST获得。

MITRE ATT&CK将网络攻击活动的各种战术与特定的技术和程序(TPP)联系起来。该框架允许洞察网络攻击元素链，以实现恶意的最终目标。

像ATT&CK一样，CAPEC从战术、技术和程序(TTP)的角度来处理攻击模式。然而，在总共546个CAPEC中，有112个已经通过“与ATT&CK相关的分类映射”字段直接映射到ATT&CK战术和技术，该字段可在ATT&CK中列出的相关CAPEC的244门课程中获得。

因此，同时使用ATT&CK和CAPEC对于全面的安全角度是必要的。

来源：https://www.nopsec.com/blog/mapping-cves-and-attck-framework-ttps-an-empirical-approach/