常见的攻击模式枚举和分类

CAPEC用户会议记录——“CAPEC条目完整性和质量”

史蒂夫Christey绿青鳕,CAPEC / CWE计划

会话的完整性和质量| 4 - CAPEC条目查看所有会议记录

(00:00)议长:富广场(峰会东道主)

我们将有一个讨论由史蒂夫Christey Coley,谁是CWE / CAPEC科技领先。史蒂夫把它搬开。

(00:05开始5)议长:史蒂夫Christey绿青鳕

太好了,谢谢你,有钱。你好,每个人,我很高兴看到这一切CAPEC这里的利益。

让我们去下一个幻灯片。

简要总结,我将讨论在接下来的几分钟。在过去的几年中,我们已经有了一个高水平现代化CAPEC以及CWE的目标。我们正在努力翻译成真正寻求理解和使CAPEC内容与社区的需求,所以我将接触一点我们一直在做什么——最近的一些活动,我们一直在努力改善CAPEC经历内容和真正领导来获得更多直接的社会投入,所以,我们确信我们适当正轨满足不同群体的需求是什么。的一部分,将会有一个调查,我们会生活在大约15或20分钟,谈论一些事情对你来说很重要。

另一个需要注意的是,很多我今天谈论的是什么,我们用类似的方法在CWE试图真正帮助我们集中我们所有的内容开发工作的方式,真正为我们的社区所需要的东西。

下一张。

(1:17)议长:史蒂夫Christey绿青鳕

那么,什么是一些高水平的目标为我们的现代化CAPEC ?

其中之一是,正如我所提到的,我们想要真正与社区合作。我们需要确定我们的利益相关者是谁,确定他们的需求是什么,我们一直在做,通过几个不同的方面,主要通过用户社区。的CWE / CAPEC板,用户体验工作小组内的所有人参与峰会今天和填写投票,和其他类型的用户社区。

有三个区域,我们的很多内容可以分为开发工作。其中一个是在仓库的面积覆盖率:CAPEC应该覆盖的什么?什么样的攻击模式应该是覆盖?

然后有一个概念我打电话“完整性”在个体CAPEC条目。什么领域——数据元素条目——是最重要的,我们要确保我们提供的信息吗?有一点模糊的相关条目,我们生产的质量。真的,我们的目标是我们如何确保所有的字段或数据元素是足够的,他们已经独立验证,他们足够准确和精确吗?

这些都是很好的问题要问。如果我们能够完美的大门,我们肯定会想要。然而,现实世界的干预,所以我们必须问一些这样的问题。

请下一张。

所以,涉及库覆盖。我们面对可以归结为两个不同的问题和不同的活动有关,第一个问题:CAPEC真的覆盖所有不同类型的攻击模式,社区需要吗?,其中可能包括新的和新兴技术或攻击模式,以及旧的,我们没必要去,或者我们不一定完全意识到充分为了变成一个CAPEC条目。

还有另一个问题,我们应对更多的在过去的一两年,即:CAPEC的范围广泛的就够了吗?可以有攻击模式在许多不同领域的技术,很多不同的领域。

有特定的子,正在寻找不同的东西比它提供目前CAPEC吗?我们已经谈论了一些关于硬件领域和过渡,我们试图对CAPEC CWE,然后稍后我们将讨论供应链。这两个领域。对硬件,它很新,但对于供应链,我们支持在CAPEC数年。但是我们有一些新的活力在试图找出我们如何支持。然后用例-笔测试是我们一直在研究的领域之一的越来越早已经讨论过。

所有这一切,我们认识到,CAPEC会更好如果我们有活跃的输入和积极支持,真正的专家。有一个巨大的世界的知识。没有个人的专家,所以我们可以产生真正的工作可以通过更多的直接好处和积极参与所有不同的专家和专家。这是我们正在试图做的我们寻求改善覆盖整个存储库:有更直接的社区参与,找到这些专家,并帮助他们,帮助我们更好地帮助CAPEC所以它帮助每个人。

请下一张。

(24)议长:史蒂夫Christey绿青鳕

所以当它归结为质量——这种模糊的事情——我们一直在做许多不同的工作,我们有一些不同的优先级,我们最近一直在工作。我们一直致力于做短描述。我们创建了一个新元素被称为扩展描述可以保存重要细节的情况下,我们认为帮助与可用性。我们有一些特殊的努力映射相关的弱点——低水平的弱点——相关访问控制。我们一直试图得到一些内部一致性CAPEC CAPEC之间以及CWE当它归结为理解和获取的各种常见的后果,可能发生的形式开发的一个弱点攻击模式。

另一个领域,我们已经开始着手是确保我们提供质量好的缓解信息。这也是一致的,不仅CWE和CAPEC之间,但是我们也与D3FEND成员合作项目,就像ATT&CK相似,但实际上这是为了捕捉所有不同的防守技术,组织可以可以为了保护自己免受各种各样的对手,他们处理很多地区的气候变化。

我们做这种协作的措施之一,正如前面所讨论的,我们已经做了一些改进现有执行CAPEC条目中流动,以便我们能改善整体的质量我们的条目,以及条目的质量,我们将生产。

下一张。

(7:10)议长:史蒂夫Christey绿青鳕

入口完整性是真正了解哪些领域是最重要的用户,并确保我们有填写这些字段,提供有用的信息。在过去的几年里,我们一直试图确保新的CAPEC条目-当他们出来更完整。他们有更多的领域,已经满了,而且通常他们更高的质量。但是我们也回顾旧的条目和要做的事情比如执行流,以确保最详细级别CAPEC条目,我们有一些执行流。或工作在改善的整体完整性条目相关的特定区域,比如供应链,同时加强映射到外部ATT&CK等工作。

下一张。

(8)议长:史蒂夫Christey绿青鳕

嗯,我们如何确定什么是重要的,或者什么似乎是重要的?我们进行了一些分析,特别是在去年。

过去,CAPEC团队,根据与用户讨论等等——但并不是在任何正式意义上——我们试图猜测,和评估什么是社区普遍认为最重要的是,我们制定了某些类型的标准。

但是去年,我们有一个特定的努力与用户体验工作小组工作,真正让他们加入,说:什么领域,什么样的价值观对于他们来说是重要的?然后我们做了一个比较。所以,我们有很多常见的疾病。CAPEC团队之间有协议,以及用户体验工作小组等领域的描述,先决条件攻击,相关弱点,后果和移植。但是还有其他的情况下,用户体验工作小组表示,有一些事情我们认为CAPEC团队很重要,但并不是真的特别重要,最有趣的一个被执行流的概念。还有其他地方有一些轻微的分歧。

但应该注意的是,这是一个与用户体验工作小组努力,这是一个非常小的样本容量。所以虽然非常丰富,对我们很有帮助的,我们要获得更多的输入来自更广泛的社区。所以这就是我们进入现场调查。

请下一张。

(9:46)议长:史蒂夫Christey绿青鳕

所以我们一直试图为我们如何开发指标衡量CAPEC条目完整性。我们已经预先选定的一组17字段,我们可以评估这些字段排序的优先级最高,然后分析单个条目如何完成他们对这些优先领域。我们做过的方式来开发和测试的方法,并确保它是有意义的。举个例子,如果你有一个条目,16的17个优先领域,我们可以说“该条目是94%完成。“但有一件事,我们意识到一些条目不一定能所有的特定的优先领域。例如,可能有一个字段确定为高优先级相关的例子。但如果没有任何已知或公开记录的真实世界的例子,我们能不能填补。正如我前面提到了诸如执行流,它不一定有意义有执行流对某些条目如果他们真的高抽象层次等抽象元水平。但在这种方法帮助我们,现在我们开始非常努力。

下一张。

(11:07)议长:史蒂夫Christey绿青鳕

这是一个表的所有不同领域,有17个优先领域,有人可以仔细检查字段的数量——如何完成我们在整个存储库,相对于那些特定的字段。所以中间,你可以看到执行流,是一个很小的酒吧,它覆盖着227 CAPEC条目。但正如我刚刚提到的,这是出乎意料的,每一个攻击模式条目将首先执行流,但是你可以想象一些我们可以改进的地方在整个存储库在某些关键领域的各种条目。

现在,所有这些有关方法,我们一直在努力开发,现在我们真的需要问的问题:什么是最高优先级字段——不仅仅只是我们思考CAPEC团队方面,但实际上,社区要做什么?这就是我们现在。

下一张。

(12:23)议长:史蒂夫Christey绿青鳕

所以我们要做一个生活的参与者投票。这是一个更全面的比之前的一些投票。但我们要问你现在开始参与调查。

下一张。

(12:39)议长:史蒂夫Christey绿青鳕

基本上,我们会问你关于所有这些不同的领域,我们需要你的意见:这些单个字段有多重要,你和你的工作,以及如何使用CAPEC吗?这样做我们会在线。

(12:58)议长:史蒂夫Christey绿青鳕

我们允许也许10分钟左右的人认为,但是你可以访问调查网站。我们想让你做的来帮助我们,是看到每个CAPEC字段,然后分领域基于你的优先级是什么。如果你没有一个特定的意见,你可以给它一个零。不过,您可以使用此范围的值,1是无关紧要的,2意味着偶尔有用,3很高兴。4,一个领域是非常重要的,然后5,你是否认为这几乎是必不可少的。

如果你需要看和理解这些字段,我们昨天发送邮件给你了,”主题的CAPEC优先领域。”所以我们要做的是我们要通过每个人经历,给我们一些你的评估,然后在某种程度上在几分钟,一旦亚历克看到我们开始得到一些结果,我们将开始分享一些结果和一些讨论。

(14:10)议长:亚历克·j·萨默斯- CAPEC / CWE程序

谢谢你！史蒂夫。我继续,把链接直接调查的聊天。所以如果你想要,你可以点击这里。这需要你调查本身的权利。如果由于某种原因你没有看到这个实际问题,你可能只需要点击页脚,它说“民意调查”在您的浏览器中。应该带你权利,你就排名这些事情根据共享屏幕,史蒂夫有0到5。

(十四37)议长:史蒂夫Christey绿青鳕

虽然人们填出来,丰富——这可能是把你当场,但你已经领先了很多内容的生产工作在过去的几年里,所以如果你想讨论一些你的方法,你在想什么了的一些优先级到目前为止我们已经完成了。

(14:56)议长:丰富的广场

是的,当然我可以即兴说几件事。

我们要说的是,我们试图现代化CWE CAPEC。我们真的想看看这些主体之一的,看看这些领域,他们是多么有趣,他们给用户正确的信息。为不同的用户角色有不同的信息,等等等等。

的一件事,我们真的试图理解——我不知道史蒂夫如果你要现在这个或已经提出,但是有某些事情,我们看是否我们可以让他们更好的,所以我们的第一次会议中讨论执行流。执行流,我们感觉是非常重要的,特别是对于笔的测试用例。它解释了攻击是什么和如何去做,真的给详细的信息不仅仅是怎么回事的几段描述字段。

但是有问题执行流,其中一些与这一事实CAPEC是一个分层的语料库,我们有不同级别的细节。我们走,从类别,元水平的最高水平,标准级别,最后详细级别。

所以问题是,它适合每个CAPEC各级执行流和答案,我们讨论了,这是不可能的。它可能是有意义的对详细的执行流,也许一些其他的,根据层次结构是什么样子的子树的特定部分。

但另一件事是也许有真的很少加入孩子的执行流程中找不到父母的执行流问题是,有一些方法我们应该代表,而不是逐字的复制相同的执行流树的每一层。也许是有意义的其他方式提供这些信息,所以你可以得到一个整体感觉CAPEC及其父母和得到一个更完整的画卷。

我们也做一些工作的后果,后果的范围。通常的中情局范围,你可能都知道,然后下面这些,有特定的影响和我们想清楚。我认为每个人都致力于这个领域的人都知道,中央情报局——是一个伟大的想法,但有时很难画之间的机密性和完整性,之类的。这些都是一些我们正在做的事情。史蒂夫,你有什么,你认为我应该提到的吗?

(19:04)议长:史蒂夫Christey绿青鳕

是的,我认为这种努力已经帮助我们至少更关注什么似乎是重要的。所以我们非常期待社区输入,这样我们可以或多或少一些最终决定,然后确保我们优化,尽可能多的,我们所有的内容制作。

我想和简要的评论从吉姆聊天,他说这将是有趣的知道用户角色用户体验工作小组,因为不同的角色有不同的知识的兴趣。这是肯定的。我们做一些工作在去年用户角色,但我个人认为它仍然需要一点工作。

但至少,我们想确保我们支持最重要的角色,这种分析取决于UEWG取得进一步进展的定义和理解角色,而不是在这个时间点上。所以我们可能最终使一些额外的变化在稍后的时间点。但是我们试图做出反应,使这种转变尽可能更多的社区参与,同时也继续把一些内容。

亚历克,这里让我跟进你。我们得到任何结果吗?并不一定清楚多长时间可能需要人工作。

(20:42)议长:亚历克·j·萨默斯

我们确实是。我想是的,你是绝对正确的,将会有一个方差的时间。不过,我可以在这里继续分享我的屏幕。我有这个很酷的小雷达图像——蜘蛛图或者我们想叫它。

(20:54)议长:史蒂夫Christey绿青鳕

对每个人都很好,有一点要注意,亚历克的聊天,这对输入调查仍然是开放的。但我们也认识到,有些人可能在他们的一些痛苦的决定,我们将在稍后重启一下给人一点时间。

(21:12)议长:亚历克·j·萨默斯

不,我很欣赏,输入。谢谢你,史蒂夫。是的,我们可以看到,希望你能看到我的屏幕。这是一个雷达图像。根据我们的数据显示,我们已经得到了平均等级在中间等级。

一直接电话我,当然,这些是那些获得本质上是一个非常高的排名,被相关弱点和移植。最近我们听到特别措施之一,不仅在列举值攻击更好的自己,但是,适当的缓解这些攻击的机会在不同的阶段,这是一个。我看到我们有30人在线的贡献。我不知道是否已经成功提交,包括所有的人,但一个提醒。我相信如果你在民意调查中,你需要在最后提交你的答案。

底部有一个紫色按钮说“提交答案,”我认为这的确需要完成您的数据才会被接受。

(22:23)议长:史蒂夫Christey绿青鳕

谢谢你亚历克。这似乎表明大约28人已经回答调查。有其他可视化,我们可以看看除了蜘蛛图吗?

(22:41)议长:亚历克·j·萨默斯

是的,实际上这是一个我们可以看到计算。我不知道还有另一个视觉的结果。我认为这是我们可以分享的东西当然事后一旦我们得到的所有数据。

我很高兴把它在一个如果你想说这个史蒂夫。这很好。

(23:02)议长:史蒂夫Christey绿青鳕

是的,我会说,一点点。我认为,我们去另一个页面。你可以看到真正的各种意见。说,似乎很沉重的协议覆盖的后果的重要性,执行流的不是大量的利益。但有一些兴趣,似乎。

移植,这是一个非常明确的结果,人们相信这是非常,非常重要或非常重要我们覆盖措施之一。这是一个好迹象。

例如实例,我在想:这些结果的符合之前来自UEWG什么,但对我来说很有趣的一件事是,我认为将是非常有用的例子的人——至少是那些试图学习新的攻击模式之类的东西,但也许那只是一个特定的任务或一个特定类型的用户角色,可能受益的例子,所以没有看到大量的人真的被完全同心协力。

啊,很高兴知道有很多支持相关弱点因为富裕确实说,CAPEC是分层组织,所以我们需要保持它的层级结构组织的必要性。

我认为,现在已经足够好了,我会看看聊天或者做一些评论,应对的一些评论。一个评论的竞争——道歉如果我犯了一个错误在你的名字——谈论执行流。他们真的需要详细的攻击模式,有时为标准的攻击模式。和有一个评论,即使专家笔测试人员不要依赖执行流,他们可以真正有用的经验较少的人。

聊天中有一个问题关于如何参与用户体验工作小组吗?让我们知道,但我们要确保得到信息给你聊天。

完整性和质量问题有两个上下文CAPEC网站。至于下载XML,有些东西在网站上的内容并不容易在XML域等抽象层次等等。

然后,我们将地址更新XML内容。这是为什么我们的一部分依靠你,,你需要给我们反馈,用户体验工作小组是那些尝试之一。我们将形成其它工作组,我们预计,在相对不久的将来,什么样的主题需要访问的数据,是多么容易访问该数据将是一个相当大的一部分的讨论。所以我们将在未来有更多的与大家讨论。

另一个评论在聊天说要记住的一个因素是,我们的选票很可能依赖于使用CAPEC经验,这是反过来依赖于信息的CAPECs使用,我认为这是一个非常公平点。

我们正在努力改进,我们可以与我们的数据和数据我们可以得到,我们承认这一点。

(二七32)议长:史蒂夫Christey绿青鳕

CAPEC我们的下一个步骤,我们希望不断提高CAPEC的完整性。谢谢大家的投票结果要么现在,要么今天晚些时候。一旦我们确定最终的优先领域,我们将文档并确保我们将公布,并将继续寻求活跃的社区的贡献。我们依靠你提供专业知识。

但我们开放更多的外部的贡献,我们也面临着一个问题不一定成为信息的生产者,这么多的管家,并确保我们在某种程度上保证质量。有很多,我们需要讨论并找出前进。但这基本上是我们在哪里。