1. 各数据源的作用与数据内容
| 数据源 | 核心作用 | 核心数据类型 | 示例 |
|---|---|---|---|
| CWE(Common Weakness Enumeration) | 描述软件/硬件安全弱点的根本原因(代码缺陷、逻辑错误) | 弱点分类、描述、修复建议 | CWE-79(跨站脚本漏洞) |
| CVE(Common Vulnerabilities and Exposures) | 标准化公开漏洞的标识与跟踪 | 漏洞ID、描述、影响产品、关联弱点(CWE) | CVE-2021-44228(Log4Shell漏洞) |
| CPE(Common Platform Enumeration) | 标准化IT产品命名(操作系统、软件、硬件) | 产品标识符(厂商、名称、版本) | cpe:2.3:a:apache:log4j:2.14.1 |
| CVSS(Common Vulnerability Scoring System) | 量化漏洞的严重性(0-10分),指导修复优先级 | 攻击复杂度、影响范围、环境指标 | CVSS 3.1评分9.8(严重漏洞) |
| CAPEC(Common Attack Pattern Enumeration and Classification) | 描述攻击者的通用攻击模式(策略、技术、目标) | 攻击步骤、利用的弱点(CWE)、缓解措施 | CAPEC-633(供应链攻击) |
| ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge) | 描述攻击者入侵后的行为链(战术、技术、真实APT组织TTPs) | 攻击阶段(初始访问、横向移动等)、技术细节 | T1059(命令与脚本解释器) |
| D3FEND | 标准化防御技术,对抗ATT&CK的攻击技术 | 防御战术(检测、隔离、欺骗)、关联攻击技术 | 防御技术“网络流量分析” |
2. 数据源之间的核心联系
(1) 漏洞生命周期管理
- CWE → CVE → CVSS → CPE
- 漏洞的根本原因(CWE)被利用后,形成具体漏洞(CVE);
- CVE通过CPE标记受影响产品,并通过CVSS评分量化风险。
示例:
CWE-502(反序列化漏洞) → CVE-2021-44228(Log4Shell) → CVSS 10.0 → 影响cpe:2.3:a:apache:log4j。
(2) 攻击与防御的对抗
- CAPEC → ATT&CK → D3FEND
- CAPEC描述通用攻击模式(如钓鱼攻击),ATT&CK细化到具体技术(如T1566.001钓鱼附件);
- D3FEND提供对应的防御技术(如“邮件内容过滤”)。
示例:
CAPEC-98(钓鱼攻击) → ATT&CK T1566.001 → D3FEND“邮件附件分析”。
(3) 威胁情报整合
- ATT&CK + CVE → D3FEND
- 攻击者利用某漏洞(CVE)实现ATT&CK技术(如T1190利用公共应用漏洞),防御者通过D3FEND技术(如“应用沙箱隔离”)阻断。
示例:
CVE-2023-1234(Web漏洞) → ATT&CK T1190 → D3FEND“应用沙箱隔离”。
- 攻击者利用某漏洞(CVE)实现ATT&CK技术(如T1190利用公共应用漏洞),防御者通过D3FEND技术(如“应用沙箱隔离”)阻断。
(4) 防御体系构建
- CWE + D3FEND → 代码加固
- 开发阶段结合CWE弱点(如CWE-89 SQL注入)选择D3FEND防御技术(如“输入验证”)。
示例:
CWE-89 → D3FEND“参数化查询” → 代码中强制使用预编译SQL语句。
- 开发阶段结合CWE弱点(如CWE-89 SQL注入)选择D3FEND防御技术(如“输入验证”)。
3. 数据源协同应用场景
(1) 漏洞响应流程
- 检测:通过CVE发现漏洞(如CVE-2024-5678)。
- 评估:CVSS评分确定优先级(如9.5分),CPE定位受影响资产。
- 分析:关联CWE(如CWE-787缓冲区溢出)和ATT&CK技术(如T1055进程注入)。
- 防御:根据D3FEND选择缓解措施(如“内存保护机制”)。
(2) 红蓝对抗演练
- 攻击方:使用ATT&CK技术(如T1078合法账户滥用)和CAPEC模式(如CAPEC-233权限提升)。
- 防御方:通过D3FEND(如“用户行为分析”)检测异常登录,结合CVE修复漏洞(如CVE-2023-4567)。
(3) 威胁情报分析
- 输入:APT组织报告提到使用ATT&CK技术T1588(获取基础设施)。
- 关联:匹配该组织历史利用的CVE(如CVE-2022-1234),通过D3FEND部署防御(如“网络流量签名检测”)。
4. 数据源关联图谱
+----------+ +----------+
| CWE | ←---→ | CVE |
+----------+ +----------+
↓ ↓
+----------+ +----------+ +----------+
| CAPEC | ←---→ | ATT&CK | ←---→ | D3FEND |
+----------+ +----------+ +----------+
↑ ↑ ↑
+----------+ +----------+ +----------+
| CPE | ←---→ | CVSS | | 防御策略 |
+----------+ +----------+ +----------+
5. 总结
- 漏洞管理侧:CWE(弱点根源)→ CVE(具体漏洞)→ CVSS(风险量化)→ CPE(资产定位)。
- 攻击侧:CAPEC(通用攻击模式)→ ATT&CK(具体攻击技术)。
- 防御侧:D3FEND(防御技术)直接对抗ATT&CK和CAPEC的攻击手段。
- 整合价值:从漏洞发现到攻击防御的全链路闭环,支持威胁情报、自动化响应和防御体系优化。
通过关联这些数据源,企业可实现:
- 精准修复:基于CVSS和CPE快速定位高危漏洞。
- 主动防御:通过ATT&CK预测攻击路径,利用D3FEND设计针对性防护。
- 知识共享:标准化术语提升跨团队协作效率(如SOC与开发团队)。