常见的攻击模式枚举和分类

CAPEC用户会议记录——“脆弱性管理”中缺失的一个环节

费尔Filiposki,AttackForge

会话1 -笔测试和执行流|查看所有会议记录

演讲者:Navaneeth Krishnan萨勃拉曼尼亚(会话主机)

我想介绍下一位演讲者,费尔Filiposki,他是AttackForge的产品负责人和首席架构师的角色,你可能熟悉,是一个家庭的工作流管理、安全与渗透测试工具,他是今天谈论失踪的块和脆弱性管理。把它拿走费尔。

演讲者:费尔Filiposki

谢谢你,大家早上好。我是费尔,我在AttackForge的联合创始人之一。我们构建工作流管理渗透测试工具使用CAPEC作为脆弱性语言帮助笔测试人员发现在一个标准化的方式进行沟通。

我一直在笔测试空间现在过去的十年中,帮助企业建立和完善他们的笔测试程序。我也咨询公司运行了7年,有超过一千笔监督测试。

所以今天,我要提供简要概述我们看到的最大挑战之一脆弱性管理和CAPEC是如何解决这一问题的一部分。

让我们开始:脆弱性管理是什么?

脆弱性管理是一个过程的识别、正常化、评估、治疗,然后报告系统的安全漏洞。

许多巨大的组织大型团队与昂贵的工具和复杂流程专门做这个函数。他们收集数据,然后报告给主管,让他们知道如果公司在关闭那些差距变得更好或更糟。

当我们考虑哪些数据进入脆弱性管理,我们应该考虑数据来自漏洞扫描器,如网络扫描仪,静态分析工具,例如,代码评审以及笔测试结果。

然而,从我的经验,大多数组织不能将他们的笔测试数据带入他们的脆弱性管理工具和过程。并有很好的理由,我们要看一看,在一个时刻。

但首先:为什么是一个问题吗?

我们认为这种情况下,你有一个房子,房子里有3个门和2门的监控。他们有传感器来告诉你是否打开或关闭。然而,有一个门,这是无监视的,你完全不知道无论是打开或关闭。现在假设你的前门,所以有人可以随时走在,你不会知道。

这是同样的问题在脆弱性管理。你有一些数据漏洞在你公司的资产,但你失踪的全貌。你有漏洞扫描器的数据,从科协工具,然而你丢失的钢笔的数据测试和这很重要。笔测试数据通常是复杂的弱点,扫描仪无法收拾。这些是笔的测试人员花天磨去发现。如果脆弱性管理不能看到它,然后它是无形的,不幸的是,有时候从来没有固定的。

请下一张。

这里我们可以看到简而言之脆弱性管理工作。我们有漏洞左边的输入。我们有工具和流程,做所有的处理和标准化。和输出,这是已知的一种资产的安全状况。

这是人类观察找出解决当。

漏洞扫描器和科协工具通常包括行业引用和标签,如CAPEC CWE cf等等。这允许高效和有效的规范化。

你有工具之间存在同样的漏洞被发现。很容易知道我们可以解决它在一个地方,关闭所有已知的漏洞。然而,当涉及到笔测试结果,最多可以得到CVSS分数,然而,这些信息不足以帮助你规范化的数据。

所以笔测试结果一般不会有CVE,他们可能有一个CAPEC或CWE,如果你的笔测试人员喜欢你。然而,即使他们提供这个给你没有保证你会收到它。和更糟的是笔测试数据任意定义的结果不过是笔测试感觉。

所以这使得标准化是不可能的。

因此,大多数漏洞管理工具不能应对这些未知数,他们努力想办法把笔测试数据为脆弱性管理。

请下一张。

所以它是多么糟糕。让我们从头开始。笔测试作为主流实践已经在过去的几十年。它植根与咨询。咨询的本质,这是一个竞争激烈的市场。公司和个人在这些公司,他们都在争夺你的辛苦赚来的美元,所以每个人都试图超越对方。

现在我们有一支笔的交付测试通常静态PDF或医生报告。通常,数十或数百页的一堆绒毛。公司花费几天如果不是几周试图创造一个完美的报告,证明了数千美元,而你只是花在他们的服务。因为他们竞争,他们都尝试创建新的短语和引入新的部分的报告令人印象深刻,并避免可怕的“Nessus笔测试报告”,报告认为它的pre罐头。

因此,你不会得到同样的报告从2个不同的供应商,甚至两个不同笔测试人员工作在相同的供应商。

如果你不相信我,你可以看到自己。去谷歌输入“GitHub笔测试报告”你会发现第一个链接就是GitHub塞萨尔堡公共存储库,这是一个很受欢迎,很多引用。它有大约50个不同的样本公司在世界各地。你可以浏览每一个,你就会开始看到我们讨论的问题。

这是一个问题。我们的笔测试结果不一致导致脆弱性管理的一个主要瓶颈。我们如何将这些静态报告成规范化的结果吗?

之间的定义和漏洞的建议改变每个人对这些漏洞进行QA和没有标记说:嘿,这实际上是相同的一个贵公司的内部扫描器发现的一部分。

,即使你的供应商给你一份报告一致的格式和他们足够好给你一些CVSS分数,也许一些CWE和CAPEC引用,你到底在VM工具过程中得到它吗?VM工具从未旨在处理任意数据。

例如,一个典型的漏洞可能有一个标题,一个描述,建议,和一个概念证明或复制的步骤。所以考虑那些4字段仅只有这些数据,你会怎么做?你可以试着散列创造某种独特的参考吗?

然而,下一个人做质量保证有轻微的变化,描述和推荐。这是现在一个新的漏洞吗?你的虚拟机工具是如何知道的?

它不能,没有花哨的人工智能机器学习解决方案将帮助你。

和笔测试,进一步给你这些标签- VM工具如何应对如果我给你一个CWE和CAPEC参考作为这个漏洞的标签,我们发现作为笔测试的一部分,你用哪一个?

许多虚拟机工具仅依赖于一个单一的标签。和笔测试结果可能有多个标签。它可能不是正确的格式甚至预计。

这些组合的问题,从笔测试是怎么做的,创建和输出的可交付成果,虚拟机的当前状态的工具,意味着笔测试数据很可能永远不会重见天日VM工具和流程。

请下一张。

实际上我们如何修复它吗?所以你可以告诉它不是那样简单的问题来解决。它需要多种因素综合作用的结果。

首先,我们需要创建一个行业标准的标记笔测试结果。一些易于理解和易于使用和VM工具可以实现的东西。这是发生了什么和CVE CVSS一样。

这个标准必须能够处理不同类型的漏洞覆盖web应用程序和API笔测试,基础设施和无线、移动应用、厚客户,物联网嵌入式设备,物理安全审计,红色的团队,等等。这些都是安全测试活动。

我们看到CAPEC自然适合解决这个。CAPEC关注攻击模式,使与笔测试人员发现什么,与主要的行业关注应用程序安全性。

然而,我们也需要考虑如何解决其他类别,如网络防御和红色的团队,这就是攻击框架集中更是如此。

之后我们有一个新的标准。我们需要训练笔测试人员能够使用它。这本身就需要一些时间和精力。然而,它将使消费者和供应商的笔测试最后能够比较苹果和苹果。

我们还需要一个漏洞的定义达成一致。这是很重要的。斜方和CAPEC在创建一个惊人的工作模式的脆弱性的定义的字段。

然而,从我们的经验人只是弥补这个缺点。

所以你可以看到自己在公共GitHub库。只要经过每个供应商的报告,你会看到的。这就像生活在不同的行星。我们需要达成一个漏洞是什么工具可以预测,然后对这个设计。

所以一旦我们有标准化的标记和脆弱性字段。我们需要开发人员和工程师和客户在机器可读的格式。

花天战斗词对齐这些表,添加字幕,创建这些脚注。这不是帮助。机器不关心。他们需要报告在XML、JSON、CSV或其他常见的导出格式,VM工具可以读取和处理。

一旦我们有这些机器可读的文件,标准化的标记和结构性弱点领域- VM工具终于可以把它融入过程,他们终于可以正常化。一旦这样做,人类将能够看到它行动和报告。并最终更多的事情会看到,因此也会得到解决。

所以,总之是标准化和合作解决这个问题。我们需要共同努力,而不是相互竞争。如果我们要保持领先一步的糟糕的人。

这就是我的演讲。所以开放给任何问题如果任何人有任何通过聊天。