0
0
Os repórteres de vulnerabilidade devem começar a usar referências da técnica MITRE ATT&CK para descrever o que o atacante está tentando alcançar explorando uma determinada vulnerabilidade numerada em CVE, recomenda a equipe MITRE Engenuity.
“Usar o ATT&CK facilita tornar as descrições de impactos e métodos de exploração consistentes em todos os relatórios. Quando usadas em um relatório de vulnerabilidade, as táticas e técnicas da ATT&CK permitem que os defensores entendam rapidamente como uma vulnerabilidade pode impactá-los, ajudando os defensores a integrar informações de vulnerabilidade em seus modelos de risco e identificar controles de segurança compensatórios apropriados ”, dizem eles.
A metodologia CVE + MITRE ATT&CK
Para ajudar repórteres de vulnerabilidade – pesquisadores e fornecedores de produtos – o Centro de Defesa Informada sobre Ameaças da MITRE Engenuity criou uma metodologia de mapeamento que pode ser aplicada, bem como um guia sobre como começar.
Eles também criaram uma extensão de esquema CVE JSON que está programada para ser integrada ao Esquema CVE JSON oficial em novembro de 2021 e, uma vez que isso aconteça, eles plantam adicionar os mapeamentos de várias centenas de CVEs para ATT&CK que já criaram à Lista CVE oficial.
Seus esforços serão em vão, no entanto, se a metodologia não for usada. A equipe pede aos repórteres de vulnerabilidade para analisá-lo e aplicá-lo para ajudar a construir o corpus de relatórios de vulnerabilidade com referências ATT&CK, e defensores para analisá-lo e pressionar os fornecedores a incluir referências ATT&CK em seus relatórios de vulnerabilidade.
“Historicamente, o gerenciamento de vulnerabilidades e o gerenciamento de ameaças têm sido disciplinas separadas, mas em um mundo focado no risco, eles precisam ser reunidos”, acrescentou a equipe.
“Esta metodologia visa estabelecer uma conexão crítica entre gerenciamento de vulnerabilidades, modelagem de ameaças e controles compensatórios. CVEs vinculados às técnicas ATT&CK podem capacitar os defensores a avaliar melhor o verdadeiro risco representado por vulnerabilidades específicas em seu ambiente.”
FONTE: HELPNET SECURITY