來源：https://www.nopsec.com/blog/mapping-cves-and-attck-framework-ttps-an-empirical-approach/

對漏洞和攻擊進行劃分和分類對于理解漏洞是如何被利用的以及漏洞是如何通過不同的步驟(包括偵察、漏洞檢測、利用、特權(quán)升級、橫向移動和泄露)展開的非常重要。

本文重點介紹如何在CVE、CAPEC、CWE和ATT&CK漏洞和攻擊分類之間建立橋梁/關(guān)聯(lián)，以便更好地理解攻擊向量和方法。

一、映射cve和ATT&CK框架TTPs:建立基線

1.1 CVE分類法

最重要和公認的漏洞分類和分類法是CVE計劃-常見漏洞和暴露，其定義為:

CVE?項目的任務(wù)是識別、定義和分類公開披露的網(wǎng)絡(luò)安全漏洞。目錄中的每個漏洞都有一個CVE記錄。這些漏洞被發(fā)現(xiàn)，然后由來自世界各地與CVE計劃合作的組織分配和發(fā)布。合作伙伴發(fā)布CVE記錄以交流一致的漏洞描述。信息技術(shù)和網(wǎng)絡(luò)安全專業(yè)人員使用CVE記錄來確保他們討論的是同一個問題，并協(xié)調(diào)他們的努力來優(yōu)先考慮和解決漏洞。”

CVE是一個對漏洞進行分類的術(shù)語表。術(shù)語表分析漏洞，然后使用通用漏洞評分系統(tǒng)(CVSS)來評估漏洞的威脅級別，主要是從技術(shù)角度進行評估。

二、CVSS框架

通用漏洞評分系統(tǒng)(CVSS)是一個用于溝通軟件漏洞特征和嚴重性的開放框架。CVSS由三個度量組組成:基礎(chǔ)、時間和環(huán)境?；A(chǔ)指標(biāo)產(chǎn)生一個從0到10的分數(shù)，然后可以通過對時間和環(huán)境指標(biāo)進行評分來修改這個分數(shù)。CVSS分數(shù)也表示為向量字符串，這是用于派生分數(shù)的值的壓縮文本表示。因此，CVSS非常適合作為需要精確和一致的漏洞嚴重程度評分來確定漏洞優(yōu)先級的行業(yè)、組織和政府的標(biāo)準(zhǔn)測量系統(tǒng)。國家漏洞數(shù)據(jù)庫(NVD)提供了幾乎所有已知漏洞的CVSS評分。

NVD同時支持CVSS (Common Vulnerability Scoring System) v2.0和v3.X版本標(biāo)準(zhǔn)。NVD提供CVSS“基礎(chǔ)評分”，代表每個漏洞的固有特征。NVD目前不提供“時間分數(shù)”(由于漏洞外部事件而隨時間變化的指標(biāo))或“環(huán)境分數(shù)”(為反映漏洞對組織的影響而定制的分數(shù))。然而，NVD確實為CVSS v2和v3提供了一個CVSS計算器，以允許您添加時間和環(huán)境評分數(shù)據(jù)，但僅依賴CVSS是不夠的。

在CVSS得分3.1，這些是得分的基礎(chǔ)得分的組成部分:

來源:First.Org，通用漏洞評分系統(tǒng)v3.1:規(guī)范文檔

基本度量組表示漏洞的內(nèi)在特征，這些特征隨時間和用戶環(huán)境的變化而不變。它由兩組指標(biāo)組成:可利用性指標(biāo)和影響指標(biāo)。

可利用性指標(biāo)反映了漏洞被利用的容易程度和技術(shù)手段。也就是說，它們代表了易受攻擊的事物的特征，我們正式地稱之為易受攻擊的部分。

影響指標(biāo)反映了成功利用的直接后果，并表示對遭受影響的事物的后果，我們將其正式稱為受影響組件。

雖然易受攻擊的組件通常是軟件應(yīng)用程序、模塊、驅(qū)動程序等(也可能是硬件設(shè)備)，但受影響的組件可能是軟件應(yīng)用程序、硬件設(shè)備或網(wǎng)絡(luò)資源。此屬性由Scope度量捕獲，該度量反映一個組件中的漏洞是否會影響組件之外的資源。

時間度量組反映了漏洞的特征，這些特征可能會隨著時間而變化，但不會隨著用戶環(huán)境而變化。例如，一個簡單易用的漏洞利用工具包會增加CVSS得分，而創(chuàng)建一個官方補丁會降低它。

環(huán)境度量組表示與特定用戶環(huán)境相關(guān)且唯一的漏洞特征?？紤]因素包括安全控制的存在，這可能減輕成功攻擊的部分或全部后果，以及技術(shù)基礎(chǔ)設(shè)施中易受攻擊系統(tǒng)的相對重要性。

三、MITRE CAPEC目錄

MITRE CAPEC是已知攻擊模式的全面字典，對手利用軟件應(yīng)用程序、硬件設(shè)備和物聯(lián)網(wǎng)設(shè)備中的弱點。美國國土安全部最初于2007年發(fā)布該標(biāo)準(zhǔn)，旨在通過開發(fā)階段的安全意識來提高軟件的安全性。截至2021年的當(dāng)前版本是3.7版本，有546種攻擊模式。CAPEC攻擊模式分為6個“域”和9個“機制”。

攻擊范圍:

軟件

硬件

溝通

供應(yīng)鏈

社會工程

物理安全

攻擊機制:

參與欺騙性互動

濫用現(xiàn)有功能

操作數(shù)據(jù)結(jié)構(gòu)

操作系統(tǒng)資源

注入意想不到的物品

運用概率技術(shù)

操作時間和狀態(tài)

收集和分析信息

顛覆訪問控制

CAPEC概要文件中的信息是廣泛的。例如，capec包括用于跟蹤和關(guān)聯(lián)的ID、攻擊名稱、高級描述、攻擊執(zhí)行過程、攻擊先決條件、嚴重范圍和評分、攻擊者技能要求、攻擊成功率和到CWE (Common Weakness Enumeration)的映射。

CAPEC分類法為每個攻擊模式包含到相關(guān)CWEs的全面映射，CWEs又可以映射到cve，但它還包含到ATT&CK ttp的直接映射。這是capec、CWEs和ATT&CK ttp之間詳細映射的一個清晰示例:https://capec.mitre.org/data/definitions/636.html

映射到CWE極大地擴展了CAPEC的能力，因為CWE可以從CVE產(chǎn)品漏洞關(guān)聯(lián)到高級攻擊模式。

在高級攻擊信息和特定產(chǎn)品漏洞之間的遍歷可以增強威脅情報和緩解工作。一份廣泛的MIT白皮書提供了將CAPECs縫合到MITRE ATT&CK和CWE, CVE, CVSS和CPE數(shù)據(jù)的詳細描述。

下圖顯示了CAPEC的擴展如何從高信息擴展到低信息。

來源:fnCyber，“CAPEC -常見攻擊模式枚舉和分類”

例如，讓我們看看在2020年發(fā)現(xiàn)的CVE-2020-16875。

NIST豐富的CVE詳細信息包括“弱點枚舉”字段，表示相關(guān)CWE類別和其他有價值的信息，如供應(yīng)商咨詢和補救信息、CVSS(通用漏洞評分系統(tǒng))和CPE(通用平臺枚舉)，將漏洞映射到特定產(chǎn)品。

在這種情況下，CVE表示嚴重評分為7.2，并影響2013年至2019年之間的Microsoft Exchange Server軟件版本的累積更新。列出的CWE類別是CWE-74下游組件使用的輸出中特殊元素的不適當(dāng)中和和CWE-269不適當(dāng)?shù)奶貦?quán)管理。

此外，從CWE到CAPEC，揭示了與不適當(dāng)?shù)妮斎胩幚砗虲APEC-233相關(guān)的幾個類別:特權(quán)升級。完整的CAPEC、CWE和CVE數(shù)據(jù)可從MITRE公開獲得，擴展的CVE到CWE和CPE可從NIST獲得。

MITRE ATT&CK將網(wǎng)絡(luò)攻擊活動的各種戰(zhàn)術(shù)與特定的技術(shù)和程序(TPP)聯(lián)系起來。該框架允許洞察網(wǎng)絡(luò)攻擊元素鏈，以實現(xiàn)惡意的最終目標(biāo)。

像ATT&CK一樣，CAPEC從戰(zhàn)術(shù)、技術(shù)和程序(TTP)的角度來處理攻擊模式。然而，在總共546個CAPEC中，有112個已經(jīng)通過“與ATT&CK相關(guān)的分類映射”字段直接映射到ATT&CK戰(zhàn)術(shù)和技術(shù)，該字段可在ATT&CK中列出的相關(guān)CAPEC的244門課程中獲得。

因此，同時使用ATT&CK和CAPEC對于全面的安全角度是必要的。