CAPEC用户会议记录——“供应链Attacks-MITRE的信任系统™和CAPEC”罗伯特·马丁,manbetx客户端首页会议5 -供应链风险和CAPEC |查看所有会议记录 (00:35)议长:富广场(峰会东道主)这是我们会议的供应链。我们知道供应链是2021或者2022的道。 我们在这个领域有很多攻击模式在很长一段时间内,我们希望改进,考虑到这些天是非常重要的。鲍勃将讨论供应链相关攻击和CAPEC和一点横切系统的信任,所以把它拿走鲍勃。 (01:22)议长:罗伯特·马丁谢谢你,你好。 这是一段时间以来我一直忙于CAPEC自从我是一个项目负责人当CAPEC开始。 我很高兴谈论这两个能走到一起。 如果你还没有听说过横切系统的信任,别担心,这是新兴的在过去几年,它刚刚开始进入公众的视线和视图,让我深入它,给你一些背景。 (02:08)议长:罗伯特·马丁当你谈论供应链每个人肯定知道客户和他们的供应商。通常,你没有任何可见性。有时你可以得到一点点的可见性后,下一层或层但名义而不是非常具体。但是如果我们可以公开,使可见会有很多事情,目前不具体真的可寻址。 这方面的一个例子,你可能已经意识到,在软件的材料领域,理解软件供应链是一个大问题。但这不仅仅是软件。这是硬件和一般供应链的可视性。 (03:05)议长:罗伯特·马丁很多人,当他们谈论供应链,倾向于思考的攻击,那些故意破坏行为或利用供应链。 我想确保你有记住当你思考供应链这些无意的行为。你知道,那些质量逃,受污染的产品,而不是通过恶意手段,短缺、天气中断,整个冠状病毒问题,运河被一艘船了。很多不同的东西,可以破坏和开门,例如,芯片短缺的冠状病毒导致假冒芯片在几个市场,所以你需要考虑这个整体。 (04:10)议长:罗伯特·马丁供应链的另一部分是它的某些方面已经工作了很久,比如供应链物流、理解的东西来自哪里,采购,库存管理,这些话题已经几个世纪以来人类社会的一部分。 购买和收购的想法并不新鲜,但在一个供应链情况你谈论一个组织,它的其他方面,熊,是非常重要的,依赖于其供应链。 为我们买的东西越来越多,获取、安装和使用软件和网络能力,管理网络的想法作为供应链的一部分来承担风险不断增加,以及您的组织取决于通过供应链的东西真的带来了供应链安全到你的组织风险管理情况。 的一件事,真的脱颖而出在过去的几十年中,供应链是一个网络的想法。这些带来附加险和附加水平对整个情况,所以这是上下文设置我们现在要讨论的是横切的供应链安全系统的信任,然后我要包装到攻击和CAPEC。 (06:10)议长:罗伯特·马丁信任是旨在广泛采用的系统,广泛应用和数据驱动的以证据为基础的供应链风险——一个框架。基于僧帽,行业和政府见解供应链问题几十年来以及努力学习我们已经能够做什么在横切的面积将标准化和框架,认为CVE CWE CAPEC,而且ATT&CK框架,将人带入一个更成熟更一致的接近讨论和处理问题区域。 (07:20)议长:罗伯特·马丁我们看到两个“不太好”的方式是这个主题的人,开始。首先是当人们开始思考供应链他们写下的所有事情可以考虑需要管理作为供应链的一部分。第二种方法,我们看到有人被分配或需要做供应链所以他们去借用其他努力的解决供应链。 这两个有问题的完整性和合理性。如果你借用另一个项目,他们可能有一个完全不同的后果供应链问题。他们可能有不同的技术,不同的供应商,不同的一切。借用他们可能完全给你了错误的方向。这些都是常见的实践方法,建立供应链,我们的目标是最小化,如果不能消除,他们两人。 (塔利班)议长:罗伯特·马丁其他地区很多人,尤其是在工业、讨论,相信是供应链的一部分,安全是第三方风险管理,但当他们处理他们可能不会处理它的所有不同方面真的需要解决当你谈论一个供应链和供应链的风险。您还需要考虑:
这些东西在一起可能脱颖而出,我们试图做的系统的信任是说,如果我需要相信我的供应商和服务,我要如何实现,在一个负责任的可重复的可伸缩的方式给他们代表的所有风险。我们想出了14个地区的风险,很据我们所知,共同完成整个行业和企业的三个不同区域/供应商,产品和服务。这些领域进入很多,很多子类,我只是向你展示其中一个在这里,外部影响。外部影响就是一个例子,一个风险正在担心你的供应商正在影响你的竞争对手,因为他们也提供他们。也许你的竞争对手从供应商购买更多的产品,因此可能会影响条件。也许他们得到最好的商品。这是你担心的事情。现在,当你想到这些风险在国家安全或关键基础设施的公司,然后外部影响可以有不同的自旋。我们想是全面的。 你会看到东西的混合物,重点要注意的不是每一个危险的领域将是适当的,但你应该开始更大的图片,然后退学的事情不合适,而不是对不同情况下有不同的框架。 (11)议长:罗伯特·马丁这是一幅我们的顶级的风险。你可以看到它有一个ATT&CK框架。基本上我只是走你通过最左边列下供应商的风险。 有七个供应商的风险领域,无论是金融稳定、组织地位易感性文化等等,所以当你想到CAPEC,今天适合这张照片。一个例子将会供应风险的产品安全这是几个例子的攻击模式的供应链是一个非常好的匹配产品安全。 这个想法是,有人可以找到可以让你的产品信息,然后进行攻击。现在这里有其他领域,几在这里,在你的供应商和他们的网络供应商地方卫生和实践可能会导致有人攻击到他们的网络物理设施,然后供应项目。这些思考我们想要关键,看看他们,找出我们可以扩大,我们可以添加和完善有什么帮助。 (12:54)议长:罗伯特·马丁让我们思考什么是供应链。你有一个产品。产品组件附带的,有人该产品通过结合这些子组件。他们每个人都从其他子组件或由原材料、和你可能合同这些组织的持续'子之间的关系。 CAPEC可以发挥作用的地方与供应链安全帮助掌握供应链的攻击表面在哪里?CAPEC地址这些现在硬件供应链的几个攻击然后会的想法是,我们想要继续微电子与硬件,或者你想超越物理设备和其他方面的产品通过供应链。 (福音14:15)议长:罗伯特·马丁我想穿过另一个例子是软件供应链。你这里有来源。你让它。它进入一个发布包,可能会有一些迭代移动通过依赖关系和更新库,最终给客户,这个供应链水平的实际图形软件构件(SLSA)项目。这是软件供应链的一部分努力掌握如何参与供应链攻击软件创建过程,所以他们已经和布局的中断可能发生和发生,和CAPEC也做了很好的工作在得到一个处理这些类型的攻击软件供应链,这是你所期望的,因为CAPEC的肉是在软件领域。但是这种模式,软件和硬件,有点简单,因为当你看到一个真正的供应链,它会从原材料开始。他们得到并入中间产品,可能会进一步细化,然后与他人操纵进入和组装。然后得到分布式和经过零售供应商,然后消费者当然,退休了。 这些类型的供应链不仅仅在城里,他们国际。几乎每一种产品在每个国家都有来自其他国家的学生因为资源和技能的劳动力和开车,很多不同的事情。 (下午)议长:罗伯特·马丁所以当你考虑这些额外的细节你需要考虑这些不同的步骤,我生产它。我要分发。某个地方,会有一个供应商,客户实际上走得。这甚至不是那么简单,因为它需要通过这个供应链和产品是物质通过某种运输是否一辆车,一辆卡车,火车或轮船,飞机,从位置的位置。 你不要只把事情因为你认为人们需要它,你真的有客户要求的事情你有生产商协调和补充货架等,当然,还有钱,所以,当你开始思考攻击供应链所有这些不同的方面是开放的候选人,供应链可以攻击。攻击者可以将信息流,以一种方式或另一个,资金流动,通过装载货物码头的实际物理运动和储存设施和铁路码等等,所以有很多的这些细节,是供应链的一部分,当前工作CAPEC不捕获和不直接解决这些我基本上想打开一切的想法你关注什么样的事情我们可以谈论和扩大CAPEC解决这些,只是打开这里的讨论。我有几张幻灯片结束,但这就是我真正想要的讨论。 所以别人有他们想要的东西的聊天。 (18:43)议长:亚历克·j·萨默斯- CAPEC / CWE程序我们有一个问题我传递给你的鲍勃聊天。问题是,在没有或不透明的供应链信息如何风险量化模型可靠? (19:05)议长:罗伯特·马丁所以关于供应链的一个有趣的事情以及网络是我们没有真正基础概率统计的方法来处理,你能找什么样的指标,给予见解是否一个特定的风险实际上是清单。 我们正在做的一件事在我们的系统信任的努力远离一个概率和影响数学和真的在关注什么东西你可以发现表明,风险被减轻或者不存在,和如何让混凝土,这样你不需要一个主题专家来做评估。这个想法是为了表达的方式更广泛的受众的人会这样不需要供应链专家来处理这些风险。 的不透明,特别是,我认为必须要有一个阶段的转变。我认为人们要洞察他们的供应链的需求。你已经看到,这种情况也发生在软件SBOM和我认为你很快就会看到它在硬件与HBOM所以我参与的努力之一是将标准以及标准包括一个核心材料清单。你需要知道如果你要真正维护和建立和分发比尔的材料,然后最重要的是它有额外的信息。如果它是一个软件比尔的材料或硬件建筑材料或系统材料清单,这样我们可以有一些自动化可能尺度和在这些不同的区域是一致的。 希望解决这个问题。 (21:43)议长:丰富的广场如果你有问题请举手或把他们在聊天。我看到乔手了。 (21:49)议长:乔·哲伯克- Synopsys对此(客人)鲍勃,跟随在这很好的演讲概述的本质,我们的挑战,但CAPEC通常用于:这就是它可以攻击。就好了如果它还包括指标的妥协,说它被攻击或被攻破,这样我们知道如果是假,如果是污染,当然使用SAE J 19可以借给自己,所以很好如果我们打开CAPEC孔的不仅仅是如何,但指标了。 (22:27)议长:罗伯特·马丁事实上,如果你还记得,我相信你,十几年前,我们开始努力看看CyBOX可以增强获取关于供应链的可见的攻击。之类的东西,看到一些在错误的地方或者“哦”这已被篡改。你怎么知道的?这防篡改密封被打破,或者收缩包裹这是很容易沟通记录,但我们不这样做在任何自动化的方式。是的,我认为你知道,某种程度上,这与讨论的概率。如果你会说,是的,它被篡改或这是一个风险,你需要一些数据驱动的可观察到的或记录可以支持,因为当你开始说好的,你违反本合同或我将不再与你做生意。他们会想说,“等一下,什么基础?我要带你去法庭”,所以事实记录你如何到达那里,证据是至关重要的。 (23:57)议长:乔·哲伯克- Synopsys对此(客人)是的。谢谢。 (23:58)议长:丰富的广场做别人的举手,我以为他们吗? (24:02)议长:罗伯特·马丁看到了一些在聊天。 (24:04)议长:丰富的广场是的,好的。 我们如何保证完整性SBOM / HBOM实体所提供的信息吗?我们如何确保和执行完整的信息在供应链中的实体可用。区块链吗?还是其他方法? (24:23)议长:罗伯特·马丁不一定区块链,但这是另一组的活动这一领域工作,我没有在这演讲。明天我有一个,我给它。但基本上,还有另一个社区努力想出的方法签名bom。所以你有保证发布者的身份是什么,所以它有一个可验证的机制也为这些文件的完整性。 然后你可以确认通过散列等等,所以在这个领域的工作,但这并不让你说它是由这个组织还测试了使用这种方法和技术。所以BOM的硬件或软件是一个认证的产品,但是你需要其他的证明。 在最近的第14028号行政令它将要求软件在联邦法案的材料供应商,但它也在要求被NIST的铰接的证明,现在软件——为什么我们应该相信它。那些作为self-attestations开始,但是你知道第三方会要求的证明当你真的需要信心。是否第三方代理或一些独立实验室。在Linux基金会的努力,这个OSSF(开源安全基金会)的一部分,Linux基金会提出标准如何捕获分类帐,不是一个区块链分类帐,但是分布式机密分类帐,轻重量的完整性。 所以我想你会发现这个行业,在春天或初夏的时间内,将开始SBOMs和旗下的软件被SBOMs提供给客户,然后如果你有正确的关系你可以看到这些证明的细节。 因此发生了巨大的变化在这些地区,所以这里的想法是帮助,在阐明什么攻击模式,什么样的证据将帮助你保证已经解决。 (27:36)议长:丰富的广场有在聊天评论吉姆说“考虑到开放组织信任技术提供者的标准,这是现在一个ISO / IEC标准。” (27:54)议长:罗伯特·马丁我是一个团队创作,标准的一部分和可信技术提供商标准和乔·哲伯克在这叫,也非常熟悉,基本上它是关于恶意污染和假货。它不处理其他的一些风险高质量产品。 所以这是一个我们想要的一部分,我认为作为一个行业。但它不是解决所有这些领域需要解决,我们正试图让他们打开这个标准,扩大它的紧密匹配的风险,我们讨论在系统信任,但故事,仍在上演。 (28:54)议长:丰富的广场好的,吉姆有响应。 开源软件是遍布COTS软件供应链。你考虑过出版推荐的安全实践和测量发展开源软件? (29:12)议长:罗伯特·马丁我只是聊天我可以阅读它。努力与开源安全基金会(OSSF)我刚才讲过,有一个很大的关注开源。许多商业的支撑能力,集团还的记分卡,利率将开源项目,徽章,可以给项目和资格的人做的工作。 是的,有更广泛的关注,它不仅流动如何得到保证?在软件我用的是什么?而且我怎么收集信息。我需要弄清楚,如果这是一个风险,我不能接受,适用于不同的组织。这些风险可能是已知的漏洞,但它也可能是——我不能处理人与组织参与软件——因此所有这类信息。它取决于你的风险规避。哪些方面的风险,你关注,所以能够使它可见和可用吗?关键不是想出,哦这是批准的产品列表,因为你用什么标准使列表可能完全不恰当的另一个组织,不见了他们真正感兴趣的事情,这是关键的能力做出决定什么到企业。 (31:25)议长:丰富的广场这里有另一个评论:供应链和攻击一般来说我认为它重要的是要看攻击的影响而言,如何获取信息资源,增加控制一个特定的过程或它如何改变扰乱破坏行为的供应链过程的结束了解给定的攻击提供了杠杆的攻击者对系统或供应链。 (32:07)议长:罗伯特·马丁是的,完全同意,我们试图解决的范围。让人们意识到,让他们理解,当涉及到系统或信任,我们有一个巨大的分类的风险可能来自你的供应商或服务你利用这标题你刚刚经历让你缩小到那些真的是有效的;适当的技术和实践和流程你谈论你的供应链。所以关键的魔法系统的信任框架,它将是在线和可用的和被托管在云功能,人们可以建立一个子集的轮廓,然后利用这一结果,这样我们就可以有巨大的覆盖面,但适当缩小它,很快,然后为您的特定的供应链问题,你就会拥有一个可行的大小设置的风险评估和管理。 (33:47)议长:罗伯特·马丁所以,刚刚完成最后的几张幻灯片我这里。 你知道基本上在过去,我们已经讨论了物理运动商品和这些离散的不同的活动和球员,现在我们需要更多的信息关于账单的材料。质量的血统。出处,这是一个双向的方向。客户不仅需要这些东西,但每条腿供应链中的需求信息从其他参与者不仅仅是传递和忘记。在我们的系统上工作的信任我们会推出方式每个人都可以处理,可以利用它。这将是公开的,会有标准,会有培训材料。我将演讲在RSA在这个6月供应链追踪。 我们将授权应用程序。我们将它可用,以便组织可以把它在房子和自己使用它。有很多的材料已经对这些事情。 所有这些幻灯片将提供并实时电子邮件sot@mitre.org。尽管sot.mitre.org不会发射到RSA之前。
更多的信息是可用的,请选择一个不同的过滤器。
|
