來源：https://www.nopsec.com/blog/mapping-cves-and-attck-framework-ttps-an-empirical-approach/

對漏洞和攻擊進行劃分和分類對于理解漏洞是如何被利用的以及漏洞是如何通過不同的步驟(包括偵察、漏洞檢測、利用、特權升級、橫向移動和泄露)展開的非常重要。

本文重點介紹如何在CVE、CAPEC、CWE和ATT&CK漏洞和攻擊分類之間建立橋梁/關聯，以便更好地理解攻擊向量和方法。

一、映射cve和ATT&CK框架TTPs:建立基線

1.1 CVE分類法

最重要和公認的漏洞分類和分類法是CVE計劃-常見漏洞和暴露，其定義為:

CVE?項目的任務是識別、定義和分類公開披露的網絡安全漏洞。目錄中的每個漏洞都有一個CVE記錄。這些漏洞被發現，然后由來自世界各地與CVE計劃合作的組織分配和發布。合作伙伴發布CVE記錄以交流一致的漏洞描述。信息技術和網絡安全專業人員使用CVE記錄來確保他們討論的是同一個問題，并協調他們的努力來優先考慮和解決漏洞。”

CVE是一個對漏洞進行分類的術語表。術語表分析漏洞，然后使用通用漏洞評分系統(CVSS)來評估漏洞的威脅級別，主要是從技術角度進行評估。

二、CVSS框架

通用漏洞評分系統(CVSS)是一個用于溝通軟件漏洞特征和嚴重性的開放框架。CVSS由三個度量組組成:基礎、時間和環境。基礎指標產生一個從0到10的分數，然后可以通過對時間和環境指標進行評分來修改這個分數。CVSS分數也表示為向量字符串，這是用于派生分數的值的壓縮文本表示。因此，CVSS非常適合作為需要精確和一致的漏洞嚴重程度評分來確定漏洞優先級的行業、組織和政府的標準測量系統。國家漏洞數據庫(NVD)提供了幾乎所有已知漏洞的CVSS評分。

NVD同時支持CVSS (Common Vulnerability Scoring System) v2.0和v3.X版本標準。NVD提供CVSS“基礎評分”，代表每個漏洞的固有特征。NVD目前不提供“時間分數”(由于漏洞外部事件而隨時間變化的指標)或“環境分數”(為反映漏洞對組織的影響而定制的分數)。然而，NVD確實為CVSS v2和v3提供了一個CVSS計算器，以允許您添加時間和環境評分數據，但僅依賴CVSS是不夠的。

在CVSS得分3.1，這些是得分的基礎得分的組成部分:

來源:First.Org，通用漏洞評分系統v3.1:規范文檔

基本度量組表示漏洞的內在特征，這些特征隨時間和用戶環境的變化而不變。它由兩組指標組成:可利用性指標和影響指標。

可利用性指標反映了漏洞被利用的容易程度和技術手段。也就是說，它們代表了易受攻擊的事物的特征，我們正式地稱之為易受攻擊的部分。

影響指標反映了成功利用的直接后果，并表示對遭受影響的事物的后果，我們將其正式稱為受影響組件。

雖然易受攻擊的組件通常是軟件應用程序、模塊、驅動程序等(也可能是硬件設備)，但受影響的組件可能是軟件應用程序、硬件設備或網絡資源。此屬性由Scope度量捕獲，該度量反映一個組件中的漏洞是否會影響組件之外的資源。

時間度量組反映了漏洞的特征，這些特征可能會隨著時間而變化，但不會隨著用戶環境而變化。例如，一個簡單易用的漏洞利用工具包會增加CVSS得分，而創建一個官方補丁會降低它。

環境度量組表示與特定用戶環境相關且唯一的漏洞特征。考慮因素包括安全控制的存在，這可能減輕成功攻擊的部分或全部后果，以及技術基礎設施中易受攻擊系統的相對重要性。

三、MITRE CAPEC目錄

MITRE CAPEC是已知攻擊模式的全面字典，對手利用軟件應用程序、硬件設備和物聯網設備中的弱點。美國國土安全部最初于2007年發布該標準，旨在通過開發階段的安全意識來提高軟件的安全性。截至2021年的當前版本是3.7版本，有546種攻擊模式。CAPEC攻擊模式分為6個“域”和9個“機制”。

攻擊范圍:

軟件

硬件

溝通

供應鏈

社會工程

物理安全

攻擊機制:

參與欺騙性互動

濫用現有功能

操作數據結構

操作系統資源

注入意想不到的物品

運用概率技術

操作時間和狀態

收集和分析信息

顛覆訪問控制

CAPEC概要文件中的信息是廣泛的。例如，capec包括用于跟蹤和關聯的ID、攻擊名稱、高級描述、攻擊執行過程、攻擊先決條件、嚴重范圍和評分、攻擊者技能要求、攻擊成功率和到CWE (Common Weakness Enumeration)的映射。

CAPEC分類法為每個攻擊模式包含到相關CWEs的全面映射，CWEs又可以映射到cve，但它還包含到ATT&CK ttp的直接映射。這是capec、CWEs和ATT&CK ttp之間詳細映射的一個清晰示例:https://capec.mitre.org/data/definitions/636.html

映射到CWE極大地擴展了CAPEC的能力，因為CWE可以從CVE產品漏洞關聯到高級攻擊模式。

在高級攻擊信息和特定產品漏洞之間的遍歷可以增強威脅情報和緩解工作。一份廣泛的MIT白皮書提供了將CAPECs縫合到MITRE ATT&CK和CWE, CVE, CVSS和CPE數據的詳細描述。

下圖顯示了CAPEC的擴展如何從高信息擴展到低信息。

來源:fnCyber，“CAPEC -常見攻擊模式枚舉和分類”

例如，讓我們看看在2020年發現的CVE-2020-16875。

NIST豐富的CVE詳細信息包括“弱點枚舉”字段，表示相關CWE類別和其他有價值的信息，如供應商咨詢和補救信息、CVSS(通用漏洞評分系統)和CPE(通用平臺枚舉)，將漏洞映射到特定產品。

在這種情況下，CVE表示嚴重評分為7.2，并影響2013年至2019年之間的Microsoft Exchange Server軟件版本的累積更新。列出的CWE類別是CWE-74下游組件使用的輸出中特殊元素的不適當中和和CWE-269不適當的特權管理。

此外，從CWE到CAPEC，揭示了與不適當的輸入處理和CAPEC-233相關的幾個類別:特權升級。完整的CAPEC、CWE和CVE數據可從MITRE公開獲得，擴展的CVE到CWE和CPE可從NIST獲得。

MITRE ATT&CK將網絡攻擊活動的各種戰術與特定的技術和程序(TPP)聯系起來。該框架允許洞察網絡攻擊元素鏈，以實現惡意的最終目標。

像ATT&CK一樣，CAPEC從戰術、技術和程序(TTP)的角度來處理攻擊模式。然而，在總共546個CAPEC中，有112個已經通過“與ATT&CK相關的分類映射”字段直接映射到ATT&CK戰術和技術，該字段可在ATT&CK中列出的相關CAPEC的244門課程中獲得。

因此，同時使用ATT&CK和CAPEC對于全面的安全角度是必要的。