常见的攻击模式枚举和分类

CAPEC用户会议记录——“工业案例研究学者:CAPEC SJU在威胁的角色管理”

苏珊娜Schmeelk,圣约翰大学

会议2 -工业案例研究学者:CAPEC SJU在威胁的角色管理|查看所有会议记录

(00:00)议长:富广场(峰会东道主)

我们现在将会话两个,这是我期待的东西。它使用CAPEC在教育和我们有两个大学教授将会告诉我们他们如何使用它在类或在他们的学校课程。首先,我将其移交给苏珊娜Schmeelk。

(00:01)议长:苏珊娜Schmeelk

非常感谢你富有。我真的很感激。今天这是一个很棒的聚会,谢谢我们的观众。的一些事情我要重申是费尔和Max今天已经说过,我们在行业。我曾在行业,许多不同的地方,所以一切我看到在行业我带回教室。

总是很高兴看到它早期的在教室里。我叫教室在沙箱一旦学生进入的行业是一个非常锋利的学习曲线,所以前面的每个人都有这些经验更好。在这次演讲中我们将看看在四个不同领域的案例研究,两个硕士课程,和两个本科生的僧帽CAPEC作用威胁管理特别是在圣约翰大学在皇后区,纽约。

请下一张幻灯片。

(00:42)议长:苏珊娜Schmeelk

这里是一个链接到我们的硕士学位项目。我们有一个科学硕士在网络和信息安全。完整的课程是在链接。这里的一切是有机——所以我们精益求精。我们已经改进流程和东西。

这些都是我们当前的列表。你可以看到不同的赛道——网络安全,数据科学分析和里面的一些特定领域的硕士学位。

请下一张。

(01:20)议长:苏珊娜Schmeelk

我要看一下这两个科学的主人在网络和信息安全,特别是我们的笔测试和道德黑客,中青文715以及安全的脚本和密码学的原则,这是中青文625名本科课程。我们要两个单身汉类,安全软件开发,这是1035年,1012年和1011年,然后我们的网络安全课程。

请下一张。

再一次,我们将开始与笔测试,我们会听到我们有非常相似的点作为费尔,Max和Nav前面提到的。

请下一张。

(02:05)议长:苏珊娜Schmeelk

我们真正专注于笔测试从工业和我们所看到的很多时候,正如我们前面听到的,笔测试报告基本上变成风险评估。

风险评估,实际上有不同的联邦、州、城市——特别是联邦法律要求风险评估。法律不具体,我们听到,布局的具体组织风险评估——好的和坏的。好的部分是每个组织都能找出威胁和他们的痛点是什么组织,但不好的一面是,你可以有两个组织穿过马路,在相同的领域,和笔测试报告和我们描述风险可以完全不同的方式。在这种糟糕的情况下,你怎么拿起电话,交谈如果没有标准化的风险在某种程度上。

我把截图这里NIST特别出版800 - 30指导再次进行风险评估和他们真的不告诉你如何把这个可视化和把它变成一个二维的报告。当我们听到,一个存储库是GitHub和每个组织可能已经开发了一些内部。

这个可视化,你寻找你的威胁来源,你算出线程事件,潜在的漏洞,然后你有影响——你知道你实际上影响如果这个东西下降和严重程度的影响。然后出来的风险,每一个事件,然后你的整体风险,这又是另一个争论。如果你有三个高位风险事件和一百年低点在哪里适合的风险?或者,如果你有一千低点风险结果,相当于一个高发现吗?有很多不同的内部辩论,很多组织。有几个不同的风险模型——我们有公平的研究所,我们有NIST模型。之一,几年前我刚发表的论文,再次重申费尔和Max在说什么。

具体地说,我认为这取决于如果你有内部笔测试人员与外部笔测试人员但有一件事我在行业是没有看到两笔测试人员将帐面价值的发现一样…。类似于今天其他人一直在说现在如果你出于法律原因,不得不说多少,在组织和多少,你在组织中,现在你突然有一个NLP(自然语言处理)问题试图找出他们已经写了事情的方式可以是相同的问题,只是写不同,现在你到整个NLP的研究问题…如果您选择使用NLP。

我给一个例子——特别是医疗方面,因为你下HIPAA需要风险评估…

请下一张。

(05:25)议长:苏珊娜Schmeelk

再次…我们可以看到,这是NIST 800 - 30指南进行风险评估,他们显然已经提到了威胁的例子。他们提供代表性的例子对抗和non-adversarial威胁不良事件的详细级别,可以用于风险评估。他们引用CAPEC作为一个伟大的来源会进入深度不同的威胁事件。

请下一张。

正如前面我们听到的,我有学生做的事情之一是构建风险评估报告作为我们笔测试这是他们做的一件事是…。特别是现在我们前年模型,以便学生认证后当他们完成不同项目本科和研究生,所以我们结构化在道德黑客+考试以及前年穿透测试。但是当他们工作在这些不同领域的笔测试,这样他们建立一个报告。由他们了。我现在要他们直接到GitHub。但我希望他们熟悉如何编写这些风险,他们发现通过笔测试,我们可以看到的一件事是将再次在NIST CAPEC以及控制由于这些原因有一个更大的画面的所有的潜在威胁和理解更大的图景,因为我们说你可以拥有所有的摄像头一扇门,让门敞开。

这样有意识的努力来确保我们连接到更大的系统是至关重要的我们得到了越来越多的网上。

请下一张。

(07:18)议长:苏珊娜Schmeelk

我还想谈谈我们安全的脚本。这是一个不同的研究生课程专门向脚本。它谈论密码学。在硕士学位项目。

请下一张。

…的关键可交付成果最后的课程是一种研究论文应用安全的脚本和早些时候回到我的一些工作我和霍教授和杨教授早在2015年,当我们开始看静态分析技术和试图想出一种元解决所有这些问题,所以我们做的事情之一就是我们的发现映射到CAPEC这样我们看恶意软件,我们可能会看到很大的差距,所以很多时间研究并没有把它放到更大的框架。

我的学生做一次安全的脚本。我将解释一些我们看不同的框架,所以,由他们。这是他们的研究;我的导师他们…但他们可以看的一些东西是CVE, NVD, CAPEC, NIST 800 - 53年和美妙的NIST bug框架(BF),这是几年前开发的,真的在我们错误的本质。

请下一张。

(塔利班)议长:苏珊娜Schmeelk

再次为本科安全软件开发…我们有学生每周工作建立自己的软件和我们工作在一个新的实验室安全。最近的一篇论文出来描述整个过程所以随时回头看看。我要求学生做的一件事是连接所有这些发现和漏洞最后这些大框架的最终报告

请下一张。

另一件事,我知道这不是CAPEC, CVE(斜方),但我们确实有学生熟悉CVE。我把它的例子出现在最近的log4J的问题。在我们的课程中,我们看看Java Python, PowerShell,在我们的课程并获得这些不同的语言,以及他们如何相互关连的感觉一点。

请下一张。

(09:19)议长:苏珊娜Schmeelk

然后我们最后的课程是我们的网络安全课程,1011年和1012年的CSS。

请下一张。

他们有很多实验室整个学期。我要求他们做的一件事在最后一个项目是建筑行业的更大的图片,他们想进入。

和我们正在做的一件事是连接实验室和实验室的发现和连接它们告诉他们的故事和这个大图片,这些美妙的本体为我们提供。

请下一张。

这是我们引用的所有神奇的工作建立在谢谢你。

(帕克)议长:丰富的广场

非常感谢苏珊娜。