Vuls and MITRE ATT&CK @ CODE BLUE 2022

Transcript

1. Vuls と MITRE ATT&CK MaineK00n @ CODE BLUE 2022 OpenTalks

2. $whoami Norihiro Nakaoka • Twitter: @MaineK00n • Vuls committer Black

   Hat MEA 2022 Arsenal に採択 🎉

3. 脆弱性管理 と MITRE ATT&CK 脆弱性管理をしていくなかで、 CVSS Score が高いから、CISA によって警告されているから…… といった基準に頼ったものになっていませんか？

   あなたの環境で検知されている脆弱性が、 どのような目的を持ち、どのような技術を使うかを理解していますか？ Vuls は MITRE ATT&CK と連携することで、 検知した脆弱性をさらに理解し、対処できることを目標にしています

4. MITRE ATT&CK 情報を表示 (Vuls v0.19.8) 検知した脆弱性に関連する MITRE ATT&CK 情報を表示

5. 脅威ナビ (FutureVuls) 各マシンやそれらを束ねたグループなどの単位でマッピング & 可視化 画面は開発中のものにつき、実際の仕様とは異なる場合があります。

6. Description を読んで、Techinique へマッピングし、手順を整理する • The web application → T1190 (Exploit

   Public-Facing Application) • improperly protects credentials → T1552 (Unsecured Credentials) • access to controllers → T1078 (Valid Accounts) どうやってマッピングするか？（理想） https://medium.com/mitre-engenuity/cve-mitre-att-ck-to-understand-vulnerability-impact-c40165111bf7

7. 各データソースが 図のような関係でマッピングされている これらのマッピングを辿ることで、 CVE-ID に ATT&CK を紐付けることができる Vuls では…… 事前にこれらを整理した

   DB を作成し、 検知した脆弱性に ATT&CK 情報を付加している どうやってマッピングするか？（現実）

8. Future Work • 脆弱性と ATT&CK のマッピング精度の向上 • MITRE D3FEND などと連携し、防御や検知能力を反映

   • Purple Teaming 活動に貢献できる機能の提案 質問や機能提案/要望など募集中です。 GitHub Issue や Vuls Slack、Twitter(@MaineK00n or @vuls_en or @vuls_ja) へ もしくは、出展ブースで気軽に話しかけてください！