常见的攻击模式枚举和分类

关于CAPEC

用例的总结

有26个已知用例适用于软件组织、供应链市场,项目团队和安全团队。这些可分为八类。下表提供了一个总结,而下面的列表包含每个用例的一个更详细的描述。

这个页面说明了大部分的这些用例是积极采用社区。各种各样的这些用例表明CAPEC的潜在价值在整个软件开发生命周期(SDLC)。

CAPEC用例

类别/用例	总结
应用程序测试
(UC-1)安全测试用例识别和建设	CAPEC协助测试人员来构造系统和现实世界的攻击场景。
(UC-2)红色组合模板创建	攻击模式提供了很好的资源定义为红色渗透测试模板的团队。
分析
(UC-3)事件反应和威胁分析	知识的攻击模式使反应能够更好的缓解策略一致。
(UC-4)遵从性分析	支持测量符合行业标准和指导方针。
(UC-5)恶意软件行为分析	与恶意代码攻击的行为模式。
(UC-6)威胁特征和归因	协助描述观察到的威胁,最终支持归因攻击实例。
(UC-7)软件安全趋势分析	常见的攻击模式是有用的术语,以确定哪些攻击最常发生。
(UC-8)攻击风险缓解/修复指导	CAPEC的应对解决方案和提供相关的应对和处理。
(UC-9)之间的关联发现攻击仿真和实际运行监测	比较模拟攻击的结果与现实世界的攻击。
(UC-10)之间的关联发现静态分析和渗透测试	比较静态分析的结果发现弱点和渗透测试的结果观察到成功的攻击向量。
(UC-11)事件的审计	常见的攻击模式的地图和相关事件在不同的审计跟踪。
威胁建模
(UC-12)威胁建模	映射相关的威胁和可能的行动的具体攻击表面软件将威胁信息客观、可操作的上下文。
需求
(UC-13)选择安全控制	CAPEC的解决方案和移植提供一个权威的资源来支持安全控制选择在开发生命周期的需求和架构设计阶段。
(UC-14)分析和获取安全需求(虐童案件)	CAPEC攻击模式的详细信息和上下文帮助填充滥用案例模板进行安全需求分析。
评估
(UC-15)评估静态和动态分析工具	工具可以评估基于覆盖率的攻击模式。
(UC-16)工具/服务描述和选择	使用CAPEC允许安全分析工具/服务供应商”来形容他们的报道和能力。
(UC-17)确定评估技术	使用CAPEC使测定不同软件评估技术的有效性。
(UC-18)手动和自动软件评估	CAPEC攻击模式提供一种标准化的方式来识别和修复软件弱点之前部署的软件
报告
(UC-19)增强的报告	使用CAPEC允许操作安全工具厂商地图各种安全机制防止攻击他们。
(UC-20)建议和警告	CAPEC攻击模式提供了一个丰富的attack-centric上下文信息,可以增加深度和增强的详细报告。
(UC-21)沟通/研究结果来支持行动	使用CAPEC允许一个标准化的词汇在一个开发团队共享信息。
培训/教育
(UC-22)安全意识培训	CAPEC描述攻击者的角度和攻击的概念用于安全培训。
(UC-23)培训软件开发人员、测试人员、买家,和经理	CAPEC提供一个标准化的知识库用于开发课程和演示。
优先级
(UC-24)优先攻击的弱点分析相关性	CAPEC优先弱点分析活动提供了一个有用的机制。
(UC-25)计划和优先考虑安全的代码评审	CAPEC为优先考虑安全的代码评审工作提供了一个有用的机制。
(UC-26)优先渗透测试的弱点的相关性	CAPEC为优先渗透测试活动提供了一个有用的机制。

CAPEC用例的描述

以下部分描述了26个用例来说明景观利用的可能性CAPEC的攻击模式。

应用程序测试

(UC-1)安全测试用例识别和建设

简介:CAPEC协助测试人员来构造系统和现实世界的攻击场景来评估风险和系统协调攻击的弹性。

背景:CAPEC可以帮助应用程序测试人员了解攻击者可能误用和滥用的一个应用程序,这样他们就可以确定其弹性不同的攻击类型。CAPEC的是为别人设计模式用于编写测试用例和QA专家可以使用以及渗透测试人员。

[UC-2]红合作创建模板

简介:攻击模式,其内在CAPEC映射到特定的威胁能力和动机,提供优秀的资源定义为红色渗透测试模板的团队试图模仿特定的威胁。

分析

[UC-3]事件反应和威胁分析

摘要:分析当前威胁和应对的过程正在进行的事件需要大量的信息来了解如何最好地减轻和阻止对手的问题。两条信息,可能是有用的是底层的代码缺陷类型被剥削和攻击所利用的模式。通过了解弱点,反应可以在其他应用程序中搜索相似的潜在问题,敌人也可能是目标。攻击模式的知识使反应能够更好地调整缓解策略更好地阻止特定类型的威胁。

背景:例如,us - cert想包括CWE和CAPEC标识符在每个事件报告使每个事件有关回更丰富的信息来源。

[UC-4]遵从性分析

摘要:CAPEC提供了一个有用的资源来支持测量符合行业标准和指导方针。

背景:CAPEC可以以同样的方式映射到现有安全法规,公司CWE映射到标准和法规。CAPEC可能促进更流线型的理解实现法规遵从性以及合规测试。

UC-5恶意软件行为分析

简介:CAPEC可用于描述恶意代码的行为,通过标记特定的攻击代码从事CAPEC获得行为概要文件的条目。

背景:CAPEC被认为提供了一种分析恶意软件通过提供一个概念框架,可以用来攻击水平描述恶意软件的行为特征。

(UC-6)表征和归因的威胁

摘要:攻击模式,通过他们CAPEC映射到特定的威胁能力,动机和行为,能够协助描述观察到的威胁,最终支持归因攻击实例。

(UC-7)软件安全趋势分析

执行摘要:趋势分析,以确定哪些软件出现漏洞和攻击最常发生。执行趋势分析依赖于常用术语的弱点被跟踪和攻击模式。CWE和CAPEC提供这些条款。

背景:例如,多个主要软件供应商(例如,Red Hat)注解自己的bug报告CWE标识符,所以他们可以识别自己的常见错误,并相应地调整自己的开发或测试过程。NIST的NVD分类每个CVE条目基于其相关CWE标识符,使ecosystem-wide趋势分析。

[UC-8]攻击风险缓解/修复指导

摘要:CAPEC攻击模式,通过他们的定义解决方案和移植,提供一个很好的资源来支持识别有关气候变化和弱点发现通过成功的处理相关的攻击。

(UC-9)之间的关联发现攻击仿真和实际运行监测

摘要:CAPEC为关联的结果提供了一个独特的桥白盒和黑盒的Web应用程序扫描解决方案,模拟攻击和运行监测的结果工具,如Web应用防火墙捕捉真实的实际攻击实例在不同的防守技术的相关结果。

背景:允许web应用程序扫描(是)技术将他们的发现映射到web应用程序防火墙(WAF)技术。由于是和WAF技术之间的互操作性的好处,一些厂商与互补的技术。CAPEC可以通过attack-to-weakness促进互操作性的映射增强跨产品报告。Web应用程序扫描可以显示哪些CWE弱点技术检测并帮助纠正,和WAF技术可以显示CAPEC条目被发现和攻击通常利用的弱点。这个链接可以帮助更好的关联操作两种技术的结果。

(UC-10)之间的关联发现静态分析和渗透测试

摘要:CAPEC攻击模式,通过映射到目标和相关的缺点,提供一种有用的机制,以协助相关静态分析的结果通常观察到的弱点和渗透测试报告通常报告成功的攻击向量。

[UC-11]事件审计

摘要:审计之间的联系防火墙、IDS、Web日志软件和主机ip技术促进共同攻击字典对地图和相关事件。

上下文:领带的可观察到的行为模式防火墙、IDS / IPS,网络和主机id。装饰的不同CAPEC模式和各自的探索,实验和开发部分这些步骤如何出现在各种传感器将SIM卡类型的功能提供了一种方法使用CAPECs作为模板,他们可以比较他们所“看见”和以识别攻击更快和更自信。

威胁建模

[UC-12]威胁建模

简介:CAPEC攻击模式,通过映射威胁特征和有针对性的弱点上下文,提供优秀的资源映射相关的威胁和可能的行动的具体攻击表面软件作为威胁建模活动的一部分。这有助于将威胁信息客观、可操作的上下文。

需求

[UC-13]安全控制的选择

摘要:CAPEC攻击模式,通过他们的定义解决方案和移植,提供一个很好的资源来支持安全控制选择在主动安全工程活动的需求和架构设计阶段的生命周期。

背景:CAPEC允许分析师/设计师/建筑师思考他们的系统或应用程序将如何攻击,从而可能如何改变设计/架构限制或消除的一些弱点攻击模式将杠杆进行他们的攻击。这里使用也适用于早期阶段SDLC规划安全控制被设计成产品需求。

(UC-14)分析和获取安全需求(虐童案件)

摘要:攻击模式,CAPEC描述和描述上下文元素,提供出色的滥用案例模板进行安全需求分析。

评估

(UC-15)评估静态和动态分析工具

摘要:静态和动态分析工具选择往往是基于软件的弱点和攻击的报道模式。CWE和CAPEC提供基础工具覆盖和了解工具相互比较,因为它们提供一个全面的标准化软件弱点和攻击工具可以识别的模式,以及提供标准的id,这样不同的工具可以比较更有效和高效。CWE列出了一个静态分析工具的弱点可能覆盖,而CAPEC提供了攻击模式的列表,动态分析工具可能会测试。

背景:例如,CWE目前使用的国家标准与技术研究院(NIST)的软件保证指标和工具评估(SAMATE)项目为理解工具的能力。每个“测试用例”标签及其相关CWE标识符。

[UC-16]工具/服务描述和选择

摘要:CAPEC提供客观的参考资源,允许安全分析工具/服务供应商”来形容他们的报道和功能以支持有效的用户选择。

背景:CAPEC兼容性映射为黑盒、白盒fuzz,和其他评估工具/服务提供一个映射的CAPEC模式目前在测试库,和潜在的类型的CAPEC攻击模式可能来源于发现漏洞。

(UC-17)测定评估技术

小结:不同的软件评估技术(如模糊测试,攻击面分析,代码审查,笔测试团队,设计审查)是有效的在检测不同的问题。通过启用一个共享的理解类型的问题,每个技术是能够识别,CWE和CAPEC支持各种评估技术,最好的服务评估的选择目标。

上下文:例如,2014年,国防分析研究所CWE标识符用于一个详细的报告给国家安全局(NSA)的中心向软件(CAS)保证与大量的软件漏洞减排技术与CWE标识符与这些技术有关。这些发现可以通过软件开发项目经理识别和优先考虑减排努力确保他们减轻最广泛的弱点和可能的攻击。

[UC-18]手动和自动软件评估

摘要:CWE CAPEC提供一种标准化的方式来识别和纠正软件弱点之前部署的软件,从而防止在操作环境中可利用的漏洞的实体化。一旦选定评估技术,CWE和CAPEC提供的基础构造测试用例,评估软件对测试用例,发现弱点,并确定补救措施。

背景:例如,一个团队评估一个新的软件产品使用CWE和CAPEC知道寻找具体问题,以及如何将这些知识与任何工具的结果被用来协助评估

报告

[UC-19]增强报告

摘要:CAPEC提供客观参考资源允许操作安全工具厂商地图袭击他们的各种安全机制预防和改善质量的描述性信息提供给用户。

背景:CAPEC安全技术作为一个存储库可以使用的信息,可以用来提高数据和分析报告。

许多安全工具供应商认为需要有一个链接的CVE CAPEC,一座桥。这简化了创建概要图对攻击类型,分布,以及其他支持材料,现有的报道计划增加巨大的价值。

[UC-20]警告和警报

摘要:CAPEC攻击模式提供了一个丰富的attack-centric上下文信息,可以添加深度和增强企业报告的细节和安全警报。

(UC-21)通信/研究结果来支持行动

摘要:软件评估的结果必须传达给开发团队和风险经理,以便可以进行相应的更改代码库和剩余风险可以有效地管理。CWE和CAPEC促进这种通信通过提供标准化软件弱点和列表的方法利用这些弱点,这样两个或两个以上的人知道他们正在谈论同样的事情,也有一个ID号参考。没有标准化,个人被迫从事非标描述性术语产生返工和误解。

背景:例如,NIST论坛和其他成员的事件反应和安全队(第一个)脆弱性报告和数据交换(VRDX)特殊利益集团(SIG)正在调查方法分享漏洞信息在不同的全球区域和团队,说不同的语言。标准识别方案,诸如CWE和CAPEC提供这种语言方式参考这样的问题

培训/教育

(UC-22)安全意识培训

简介:CAPEC为攻击者的交流提供一个优秀的资源角度和攻击概念在安全培训中使用范围广泛的主题和范围广泛的潜在的观众,包括内部和外部。

[UC-23]培训软件开发人员、测试人员、买家,和经理

简介:软件是一个关键的功能元素的IT系统的几乎每一个方面,企业和经济。各级软件开发人员的经验要求了解可利用的资源,提供一个基础的弱点和利用他们的方法。CWE和CAPEC提供一个标准化的知识基础的理解,使课程的发展,认证标准,和验证知识的范围出现在软件安全的劳动力。

背景:例如,组织开始在软件保证将使用CWE / SANS列表,相关CWE条目,及其相关的链接CAPECs建立新员工课程和教育他们试图避免的弱点在他们开发的代码。

优先级

(UC-24)优先攻击的弱点分析相关性

摘要:攻击模式,通过映射到目标和相关的缺点,提供一种有用的机制,以协助优先弱点分析活动基于哪些类型的攻击已被确定为最相关的安全上下文下的软件分析。

(UC-25)计划和优先考虑安全的代码评审

摘要:攻击模式,优先对给定的软件应用程序的上下文中,可以提供援助,通过他们CAPEC映射到目标和相关的弱点,在计划和优先级安全对应用程序代码审查工作。

(UC-26)优先渗透测试的弱点的相关性

简介:攻击模式,通过映射到目标和相关的缺点,提供一种有用的机制,以协助优先渗透测试活动基于弱点已经确定为最相关所需的安全属性的软件分析。