CCE创建过程——存档CCE创建过程CCE条目目前分配给CCE内容团队和成员的配置问题张贴在公共CCE的网站。操作系统鼓励供应商配合CCE内容团队cc分配给它们的配置控制和/或新平台。请联系cce@mitre.org为更多的信息。 通常,CCE内容团队分析师首先遇到一个配置问题以两种方式之一: (1)遇到一个分析师最常见的方式配置问题是一个资源配置指导语句文档或审计工具。例如,“最小密码长度应设置为8。”This statement would lead to the identification of the resource itself, and to the capture of the configuration statement as a citation. The next step for the analyst is often to determine how to effectively set the configuration or test for its presence. In this example, this would lead her to various registry keys, local security policy settings, or Group Policy Object (GPO) settings, each of which would be captured as technical mechanisms. After the configuration statement and the associated technical mechanisms are identified, the analyst will generalize the configuration issue and capture it as a CCE description and conceptual parameters. In this way, the CCE entry binds together the references and technical mechanisms. (2)第二个分析师和少的方式创建一个CCE条目与特定配置控制如一个特定的注册表键,文件,或者GPO设置。在这种背景下,分析师正在考虑控制没有任何特定的外部指导如何控制应设置。相反,她可能会努力制定自己的建议。从一个单一的技术机制(例如,一个注册表键),然后她通常扩大她的范围考虑什么其他技术机制有一个等价的效果(例如,本地安全策略设置,GPO设置)。这些捕获进一步的技术机制。一旦确定了一组类似的技术机制,她可以概括的技术机制和创建一个CCE条目如上所述。 一旦创建了一个分析师CCE,它发表在下载上张贴CCE列表页面在这个公共CCE的网站上。 CCE核心概念下面是一个高度概括的CCE创建过程中的核心概念。 引用和技术机制CCE条目可以被认为是由一组类似的“引用”配置。这些引用有两种不同的种类。第一种由对象或从平台本身的内部结构。CCE指的是这些技术机制。例子包括文件、用户注册表键值、本地安全策略设置,和图形用户界面(GUI)控制。 第二种配置参考包括语句嵌入到“资源”,描述了平台,“资源”这个词在哪里采取包括一个很广泛的类别,包括:
CCE指的是单个语句在一个资源引用。CCE也集体指引用(资源)和技术机制作为引用(平台)的。 类似的引用当一组参考平台本质上是相同的,尽管差异表达,CCE称他们为“可比参考。”Three types of comparability are included below to illustrate the concept.
实现一致性的决定什么是类似的(或消逝)引用,在实践中,最困难的方面分析CCE的创造。的当前状态的艺术中记录这些编辑决策CCE编辑政策页面,活文件,反映了发展社会理解的可比性引用。 参考集群和CCE的创造下面的比喻是为了解释可比形式CCE条目的引用。 绘制一组引用和技术机制上飞机附近分组比较引用时对方看起来像一个星座的恒星。见下文。
集群绘制在平面上相当的引用 在此表示,每个集群的可比形式或创建一个CCE条目的引用。声明它的另一种方式,CCE条目是与一组相关联的标识符或集群相当的引用。见下文。
CCE条目分配给集群相当的引用 参与CCE创造的核心挑战是,给定一组引用和技术机制的一个新平台作为输入,分析师必须:
参与CCE维护的核心挑战是,给定一组的引用和技术机制平台cc目前存在的分析师必须:
假设为了定义CCE的各种过程选项操作,CCE工作组使得某些假设为创建CCE条目作为护栏。 假设1:没有一个组织宪章、能力或专业技能生产CCE数据感兴趣的所有平台。因此,CCE过程必须适应多个组织的参与以达到足够的报道感兴趣的所有平台。 假设2:多个组织发布不同的高利率但重叠的资源平台。平台的创造者显然是最佳位置定义的引用和技术机制集定义他们的平台并创建的cc平台。然而,有其他主题专家(SME)也特许来表述配置选择的平台。这些包括:
CCE承认历史上不同的平台有不同的子集,这些类型的中小企业参与创建的内容提要CCE创建和维护过程。虽然许多人努力统一在一个特定的上下文配置指导,CCE明白的高息平台部署在许多不同的环境中,有广泛的中小企业将继续出版资源,应考虑在CCE内容创建过程。因此,对于一个平台(特别是高利贷平台)的CCE创建过程必须提供一些机制配置语句由多个组织可以合并在一起。 假设3:CCE数据将通过网络向世界供应。CCE标识符的全部索引的效用,促进快速、准确的相关配置信息才会意识到如果他们被广泛用于标签配置问题在该行业的所有方面。目前,斜方公司提供这一manbetx客户端首页功能。NIST的美国国家漏洞数据库(NVD)还提供一个基于web的CCE内容的存储库。 假设4:CCE数据的实用程序将取决于它的基本正确性。维基百科已经证明,社区的反馈和输入的内容创建和维护过程是一种强大的机制,内容可以提供在一个“紧急”的方式。虽然CCE创建过程可能试图利用这种力量,维基百科也表明,恶意subversion的内容创建和维护过程是一个非常现实和可能的前景,尤其是大型国有和金融利益受到威胁。 CCE也承认任何联邦内容创建过程漂移和内部矛盾,即使参与各方的愿望是很好的。此外,CCE承认任何联邦内容创建过程开辟了授权的参与者可能不同意特定数据元素的形成和正确性。 最后,CCE承认历史上不同的资源(例如,指南,XCCDF、模式、工具)由不同的中小企业相同的平台有不同的内容方向。这些资源也不充分提供足够的信息来创建一个CCE条目。这意味着一个必要方面的信息融合过程的延长一些SME-authored资源包括创建CCE条目所需的所有信息。这可能意味着需要编写中小企业扩展他们的传统内容创作过程包括必要的附加信息,或者它可能意味着扩展中小企业负责信息数据的合并。在当前时间,CCE的斜方履行这个角色创建过程。 CCE创建过程必须提供一些机制保证充足的一致性、完整性和正确性CCE的数据。选项包括那些参与培训和文档CCE数据创建、控制是谁授权创建和编辑CCE数据,一些集中审查和监督能力,版权,和再分配控制,或上述所有。 假设5:CCE数据必须有足够的结构是有用的。为了CCE采用和整个行业得到广泛应用,它必须提供的方式允许数据集被解析和修改。目前,横切帖子CCE列表作为单独的ms excel电子表格和xml格式下载。 CCE承认发布的资源平台,中小企业从散文文档(如微软字处理软件,PDF)结构化资源(如XCCDF, WMI, CMDB,椭圆形)。因此,创建过程需要一个模式定义共享CCE-related数据的表示和传输。一步非结构化和结构化数据并入本集中CCE数据格式也将是必要的。 假设6:CCE过程将利用结构化配置内容标准和支持内容创建流程,实现高效率CCE创建过程,从而减少了需要一个集中的CCE创建角色。 即CCE认识到(1)中小企业对于一个给定的平台最好能够提供所需的信息创建cc,和(2)这些中小企业越来越多地使用信息标准可扩展的配置清单描述格式(XCCDF)和开放的脆弱性和评估语言(椭圆形®)。是自然的扩展这些功能在中小企业发展也提供结构化CCE数据。更加结构化的数据,是由中小企业创造的,负担变得越小的其他阶段CCE创建过程。 注意:CCE的增长常见的漏洞和风险敞口(CVE®)项目,提供了许多经验教训对于联邦CCE内容创建的模型。CVE维护一组关系的组织称为候选人编号当局(CNAs)。当前的列表必须包括苹果、思科、Debian,微软,甲骨文,和红色的帽子。必须有一定数量的培训在适当的转让CVE标识符(CVE-IDs),特别是关于CVE内容决定。他们将获得CVE-IDs块分配在他们报告漏洞。这样,CVE今天是作用于一个联合CVE分配模型。 必须向公众发布新分配CVE-IDs安全警告。这些报告通常向公众发布为文本或HTML出版物和他们通常相差很大的数量和类型的技术细节披露。 创建一个结构化的CVE数据流是基于“拉”模式完成的。CVE内容团队了解新CVE-IDs CNAs通过出具报告。CVE团队然后把数据从这些报告,分析它的正确性和完整性,然后将其放入一个结构化的格式。 CCE的努力发生在不同的环境中创建和配置的内容。采用丰富的语义信息表达标准配置指导XCCDF标准和表达等技术细节,如椭圆形可能给我们改进的机会CVE模型获得CCE创建过程的效率。这是假设的基础6。 额外的信息 |
