Skip to main content
QUICK REVIEW

[论文解读] BRON - Linking Attack Tactics, Techniques, and Patterns with Defensive Weaknesses, Vulnerabilities and Affected Platform Configurations.

Erik Hemberg, Jonathan Kelly|arXiv (Cornell University)|Oct 1, 2020
Network Security and Intrusion Detection参考文献 8被引用 10
一句话总结

本文提出了 BRON,一个统一框架,整合了 MITRE ATT&CK、NIST CWE、CVE 和 CAPEC,实现从攻击战术与技术到潜在漏洞及受影响系统配置的双向、关联式追溯。其主要贡献在于全面映射,揭示了已知攻击模式与其防御目标之间的差距,同时在整合过程中揭示了潜在信息。

ABSTRACT

Many public sources of cyber threat and vulnerability information exist to serve the defense of cyber systems. This paper proposes BRON which is a composite of MITRE's ATT&CK MATRIX, NIST's Common Weakness Enumerations (CWE), Common Vulnerabilities and Exposures (CVE), and Common Attack Pattern Enumeration and Classification, CAPEC. BRON preserves all entries and relations while enabling bi-directional, relational path tracing. It exploits attack patterns to trace between the objectives and means of attacks to the vulnerabilities and affected software and hardware configurations they target. We inventory and analyze BRON's sources to gauge any gap between information on attacks and information on attack targets. We also analyze BRON for information that is a by-product of its mission.

研究动机与目标

  • 解决已记录的网络攻击模式与实际系统弱点之间的脱节问题。
  • 创建一个统一的、关联性的知识库,保留并关联主要标准中的现有网络威胁与漏洞数据。
  • 实现从攻击技术到防御性弱点及受影响配置的双向追溯。
  • 识别当前威胁与漏洞信息中的空白,这些空白阻碍了有效的网络防御。
  • 揭示整合过程中产生的副产品,这些副产品可能揭示攻击-目标关系的新见解。

提出的方法

  • 将 MITRE ATT&CK 的攻击战术与技术,与 NIST 的 CWE(通用弱点)、CVE(漏洞)和 CAPEC(攻击模式)整合为一个统一的复合知识图谱。
  • 保留所有原始条目及其关系,以维持数据保真度与上下文完整性。
  • 建立双向、关联性链接,实现从攻击目标到特定漏洞的追溯,以及从漏洞反向追溯到攻击方法。
  • 使用标准化标识符与语义映射,对齐不同分类体系下的异构数据源。
  • 应用基于图的分析方法,探索框架内连接性、覆盖范围与信息流。
  • 对源数据进行清查与分析,以评估完整性,并检测攻击-目标映射中的空白。

实验结果

研究问题

  • RQ1已记录的网络攻击模式与实际目标漏洞或系统配置之间存在哪些差距?
  • RQ2现有威胁与漏洞信息源在表示攻击-目标关系方面有多一致?
  • RQ3将 ATT&CK、CWE、CVE 与 CAPEC 整合为单一关联框架后,会涌现出哪些新见解或副产品?
  • RQ4该整合在多大程度上提升了从攻击技术到防御性弱点的追溯能力?
  • RQ5哪些攻击模式最常与特定类型的漏洞或平台配置相关联?

主要发现

  • 将 ATT&CK、CWE、CVE 与 CAPEC 整合到 BRON 中,揭示了攻击技术与其对应漏洞或系统配置之间存在显著的映射空白。
  • CAPEC 中的许多攻击模式并未与特定 CWE 或 CVE 一致关联,表明各来源间存在不完整或不一致的文档记录。
  • 大量漏洞(CVE)与多个攻击模式相关联,表明不同威胁场景中存在共享的利用向量。
  • BRON 的双向追溯能力使进攻战术与防御弱点之间的相关性分析比单一来源更有效。
  • 整合过程本身揭示了潜在关系与数据不一致,如映射错误或缺失,这些在孤立的数据源中并不明显。
  • BRON 的复合结构增强了对攻击链的可见性,并通过将战术与特定系统级弱点关联,支持更明智的防御加固决策。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。