Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vuls and MITRE ATT&CK @ CODE BLUE 2022

MaineK00n
October 28, 2022
0
22

Vuls and MITRE ATT&CK @ CODE BLUE 2022

MaineK00n

October 28, 2022
Tweet

More Decks by MaineK00n

See All by MaineK00n
Vuls開発者による小話@Vuls祭り#9
mainek00n
0
400
How_to_Write_and_Distribute_Security_Advisories_OpenSSF_Day_Japan_2023.pdf
mainek00n
0
46
ネットワーク機器における脆弱性検知の取り組みと課題_JANOG52.pdf
mainek00n
0
18
Vuls v0.23.0-beta Windows Support@Vuls祭り#7
mainek00n
0
4k
Vuls Major Update - user friendly and new feature custom advisory @ Black Hat MEA 2022
mainek00n
0
16
Vuls のアップデート情報と未来 @ Vuls祭り#6
mainek00n
0
150
Vuls2020 at AVTOKYO2020 HIVE
mainek00n
0
130

Featured

See All Featured
Fontdeck: Realign not Redesign
paulrobertlloyd
82
5.3k
Making Projects Easy
brettharned
116
6k
A designer walks into a library…
pauljervisheath
205
24k
Bash Introduction
62gerente
609
210k
How to Ace a Technical Interview
jacobian
276
23k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
YesSQL, Process and Tooling at Scale
rocio
169
14k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Automating Front-end Workflow
addyosmani
1366
200k

Transcript

  1. Vuls と MITRE ATT&CK MaineK00n @ CODE BLUE 2022 OpenTalks

  2. $whoami Norihiro Nakaoka • Twitter: @MaineK00n • Vuls committer Black

    Hat MEA 2022 Arsenal に採択 🎉

  3. 脆弱性管理 と MITRE ATT&CK 脆弱性管理をしていくなかで、 CVSS Score が高いから、CISA によって警告されているから…… といった基準に頼ったものになっていませんか?

    あなたの環境で検知されている脆弱性が、 どのような目的を持ち、どのような技術を使うかを理解していますか? Vuls は MITRE ATT&CK と連携することで、 検知した脆弱性をさらに理解し、対処できることを目標にしています

  4. MITRE ATT&CK 情報を表示 (Vuls v0.19.8) 検知した脆弱性に関連する MITRE ATT&CK 情報を表示

  5. 脅威ナビ (FutureVuls) 各マシンやそれらを束ねたグループなどの単位でマッピング & 可視化 画面は開発中のものにつき、実際の仕様とは異なる場合があります。

  6. Description を読んで、Techinique へマッピングし、手順を整理する • The web application → T1190 (Exploit

    Public-Facing Application) • improperly protects credentials → T1552 (Unsecured Credentials) • access to controllers → T1078 (Valid Accounts) どうやってマッピングするか?(理想) https://medium.com/mitre-engenuity/cve-mitre-att-ck-to-understand-vulnerability-impact-c40165111bf7

  7. 各データソースが 図のような関係でマッピングされている これらのマッピングを辿ることで、 CVE-ID に ATT&CK を紐付けることができる Vuls では…… 事前にこれらを整理した

    DB を作成し、 検知した脆弱性に ATT&CK 情報を付加している どうやってマッピングするか?(現実)

  8. Future Work • 脆弱性と ATT&CK のマッピング精度の向上 • MITRE D3FEND などと連携し、防御や検知能力を反映

    • Purple Teaming 活動に貢献できる機能の提案 質問や機能提案/要望など募集中です。 GitHub Issue や Vuls Slack、Twitter(@MaineK00n or @vuls_en or @vuls_ja) へ もしくは、出展ブースで気軽に話しかけてください!