第4回会合 脅威分析研究会 SIGSTA

CAPEC ^の活用

ついて他

2016/10/20

情報セ 大学院大学

大久保 隆夫

ネタその ₁

CAPEC

使えますか？

 ^{脅威分析 攻撃 あ}

CAPEC ^{活用 い}

 ^{CAPEC 使い方 う く分}

い

 ^{例えば 分析 中 あ}

ういう攻撃 あ う 知 手段

使え い？手掛 い

CAPEC ^{そ 手掛 情報 あ}

あ そ 情報 何 ？

 ^{例えば 位 脅威 攻撃 見 場合}

そ 実現 手段 攻撃 あ 知

い _{← CAPEC} く

 ^{検索 条件 使 い ワ}

構成 あ そう

脅威の識別

attack tree ^法

 ^{脅威分析手法 一}

 ^{脅威 Tree 状 詳細化 いく}

 ^{体的 攻撃手段 そ 可能性 明確化}

 ^{⇒対策 糸口}

 ^原

 [SCH99] B. Schneier, “Attack trees: modeling security

threats,” Dr. Dobb’s Journal, December 1999.

 [MEL01] B A. P. Moore, R. J. Ellison, and R. C. Linger,

“Attack modeling for information security and

survivability,” CMU/SEI-2001-TN-001, March 2001.

Attack Tree

root attack tree ^詳細化

AND OR ^あ

[SCH99]

AND ^場合

記載 ₍

OR)

出 _:[SCH99]

Attack tree

7

ID ^ワ

盗

ID ^{盗 ワ}

盗

ワ

推測

ワ 盗

聴

AND

総当

CAPEC

 CAPEC

Common Attack Pattern Enumeration and Classification MITRE ^{定義 一般的 攻撃 ン 列挙 分類}

TM^本執筆時 15 476^{攻撃 ン 構造化 い 現在}

ン CAPEC List Version 2.8 Mechanisms of Attack ^＆17 504 ^ン＇ Domains of Attack ^＆6 38 ^{ン＇ 分 い}

STRIDE ^{セ セ あ} CAPEC ^{攻撃 ン セ}

あ 点 _STRIDE 差異

CAPEC ^{ン 利用出来 複雑 あ 多く}

魅力的 あ ン 実施者 あ

URL

http://capec.mitre.org/data/

♯TM ^{本 CAPEC 結構 数 割い い}

CAPEC ^{い 明 中心 あ} CAPEC

ン 変更 い 以降 明 最新版

CAPEC Mechanisms of Attack ^記載

8

CAPEC-Parameters

9

Summary Payload

Attack Execution Flow Activation Zone

Attack Prerequisites Payload Activation Impact Typical Severity Related Weaknesses

Typical Likelihood of Exploit Related Attack Patterns

Methods of Attack Relevant Security Requirements Examples-Instances Related Security Principles

Attacker Skills or Knowledge

Required Related Guidelines

Resources Required Purposes Indicators-Warnings of Attack CIA Impact

Obfuscation Techniques Technical Context Solutions and Mitigations References

Attack Motivation-Consequences Content History Injection Vector

CAPEC- ^{パラメータ}

10

概要

攻撃実行 ン ン

攻撃 前提条件 活性化へ 影響

型的 深刻度 関連 弱点

型的 可能性 関連 攻撃 ン

攻撃 方法 関連 セ 要件

例 _- ン ン 関連 セ 原則

必須 攻撃 知識 関連 ン

必須 目的

攻撃 指標 警告 _CIAへ 影響

難 化 ニ 技術的 ン

ン 軽減策 ン

攻撃動機_-帰結 ン ン 歴史

ン ン

CAPEC ^の項目 ( ^実際 )

Summary( ^{概要 )}

Attack prerequisites

Typical Severity

Resources Required

Solutions and Mitigations

Related Attack Patterns

→ Attack tree ^{位 探せ}

い

問題点

 ^{例 : 認証回避} →SQL injection ^{導出 い}

 ^{直接的 検索 使え 項目 い}

 ^{確 Summary 中 そ 文言 あ}

い ば探せ い

他 使えそう もの

Domains of Attack

Social Engineering

Supply Chain

Communications

Software

Physical Security

Hardware

分類 ₍ 今 導出 ₎ 使え い

CAPEC-Mechanisms of Attack

Category

• Gather Information • ^情報収集

• Deplete Resources • ^資源枯渇

• Injection • ^{ン ン}

• Deceptive Interactions • ^{虚偽 ン ン}

• Manipulate Timing and State • ^{ン 状態 操作}

• Abuse of Functionality • ^{機能 乱用}

• Probabilistic Techniques • ^{確率論的手法}

• Exploitation of Authentication • ^{認証情報 搾取}

• Exploitation of Authorization • ^{認可情報 搾取}

• Manipulate Data Structures • ^{構造 操作}

• Manipulate Resources • ^操作

• Analyze Target • ^分析

• Gain Physical Access • ^{物理的 セ}

• Execute Code • ^実行

• Alter System Components • ^{ンポ ン 変更}

• Manipulate System Users • ^操作

14

認証回避 い！

Attack Mechanism

 ^{あ 盗聴 改} →SQL injection ^行

いう _… い い！

 Attack Mechanism ^{使え い！}

Meta Abtractions

 ^{攻撃 抽象化}

Abuse of Transaction Data Structure

Authentication Bypass← ^{あ ！}

開い SQL injection ^辿

…

う一 ！

CAPEC-Mechanisms of

Attack Category Expand

17

結論と今後

Attack tree ^{向 構造情報 追加}

使えそう

→ ^{う 活用 い 検討 情報共有}

活動 せ ？

ネタその ₂

もう少し大き 話

TM ^{本勉強会 通 脅威分析 方}

課題 明

TM ^{本勉強会 そ く 現場 声}

聞 濃い議論 展開 会合

身軽 動 分 良い点 あ

But

TM ^{本勉強会 次回 最終回}

そ _…

 ^{次 勉強会 立 い}

SIGSTA ^{脅威分析手法}

CAPEC ^活用

 ^評価

security& safety ^考え

etc