A security control ontology to support automated risk mitigation

Abstract

Λόγω της ραγδαίας τεχνολογικής ανάπτυξης τα τελευταία χρόνια, αρκετές συσκευές τεχνολογίας έχουν εισαχθεί σε αρκετούς τομείς, όπως στην παραγωγή, στις επιχειρήσεις, τα νοικοκυριά ακόμη και στην καθημερινότητα. Μαζί με αυτές τις τεχνολογικές συσκευές, ακολουθεί ένα ευρύ φάσμα απειλών που θα πρέπει να αντιμετωπίσουν οι ειδικοί στην ασφάλεια στον κυβερνοχώρο τα επόμενα χρόνια. Ωστόσο, υπάρχουν πολλές πηγές πληροφοριών που αναφέρονται στις απειλές στον κυβερνοχώρο και ονομάζονται OSCTI (Open Source Cyber Threat Intelligence). Τέτοιες πηγές είναι το MITRE's ATT&CK Framework, το CWE και το CAPEC, που είναι κατάλογοι απειλών, το CPE του MITRE, ένας κατάλογος περιουσιακών στοιχείων, το CVE, μια βάση δεδομένων ευπάθειας, το Digital Artifact Ontology (DAO) του MITRE, που προέρχονται από το MITRE, αλλά προς το παρόν διατηρούνται από το NIST. Μέσω αυτών των πηγών, οι αναλυτές ασφαλείας μπορούν να εξάγουν δεδομένα σχετικά με απειλές στον κυβερνοχώρο καθώς και γνωστά τρωτά σημεία, που ενδέχεται να επηρεάσουν τα συστήματά τους. Στις ανωτέρω πηγές δεδομένων απαριθμείται ένα ευρύ φάσμα τρωτών σημείων και απειλών, καθώς επίσης ένα ποσοστό από αυτά είναι σημασιολογικά διασυνδεδεμένα. Οι συνδέσεις αυτές, έως έναν βαθμό, καταγράφονται στο OSCTI, αλλά υπάρχει έλλειψη συνδεδεμένων τρωτών σημείων, απειλών και άμυνας. Σε μια προσπάθεια επίλυσης αυτού του ζητήματος, έχουν εισαχθεί μέτρα και τεχνικές μετριασμού των επιθέσεων εντός του ATT&CK, τα οποία ισχύουν για συγκεκριμένες απειλές. Αυτό είχε ως αποτέλεσμα την δημιουργία της βάσης D3fend, καθώς οι έλεγχοι ασφαλείας και τα εκάστοτε μέτρα της οντολογίας D3fend συνδέονται άμεσα με τις υπάρχουσες τεχνικές επίθεσης της ATT&CK. Επομένως, μια ολοκληρωτική προσέγγιση είναι αναγκαία, προκειμένου να εξεταστούν οι διασυνδέσεις μέσα στο φάσμα που συμπεριλαμβάνει καταλόγους καταγραφής λογισμικών και υλικών - εξαρτημάτων, καταλόγους αδυναμιών, ευπάθειας, τεχνικών επίθεσης και άμυνας ( CPE-CVE-CWE-CAPEC-ATT&CK-D3FEND-DAO ) και να δοθεί μια στατιστική προσέγγιση. Με αυτόν τον τρόπο μπορούμε να προσφέρουμε πληροφορίες για τη γεφύρωση του χάσματος μεταξύ καταγεγραμένων υλικών και λογισμικών (CPE) και οποιασδήποτε ανεπιθύμητης αλλαγής που εισάγεται σε μια ψηφιακή διαδικασία (DAO), μπορεί να αποφέρουν προφίλ απειλών ή γνωστά στοιχεία χωρίς γνωστά τρωτά σημεία. Επιπλέον, οι διασυνδέσεις CVE και D3FEND προκύπτουν από αυτήν τη στατιστική προσέγγιση, η οποία λόγω της χρήσης πολλαπλών καταλόγων, ενδέχεται να μην είναι σημασιολογικά σωστή, επομένως θα πρέπει να μελετηθεί, προκειμένου να αποφασιστεί εάν θα πρέπει να ενσωματωθεί με δεδομένα που προέρχονται από άλλες μεθόδους διασύνδεσης.