脆弱性情報とMITRE ATT&CKを関連付ける知識グラフの構築

サイバー攻撃の対策を迅速に優先順位をつけるときに，脆弱性情報とその深刻度は参考になる．脆弱性情報に関わる攻撃手法や攻撃の目的の情報まで得られれば，より優先順位をつけやすくなると考えられる．我々は何らかの痕跡情報から脆弱性情報が特定されたとき，脆弱性情報から攻撃手法や攻撃の目的の情報を得るためのアプローチとして，CVE と MITRE ATT＆CK 関連付けることを検討している．本論文では，NVD と MITRE ATT＆CK を関連付ける知識グラフを構築する手法と提案手法により CVE と ATT&CK を正確にマッピングできるかについて述べている．具体的には CVE-CAPEC 間のリンクの推定を行うことで CVE と ATT&CK を関連付ける手法を提案した．また，ハニーポットにおいて悪用の確認された82件の脆弱性を入力とし，CVE と ATT&CK の関連付けを行った．結果，7 件の CVE が ATT&CK と結び付けられた，またうち 1 件については CVE と関連のある ATT&CK と結び付けることができた．これらの結果をもとに CVE と ATT&CK の関連付けを行うために CVE-CAPEC 間のリンクの推定を行うことは有効であるかについて述べた．

Vulnerability information and its severity are helpful when manage cybersecurity risks. If we can obtain information on attack methods and the purpose of attacks it will be easier to prioritize vulnerabilities. We are considering linking CVE and MITER ATT&CK as an approach to obtain information on attack method and the attacker's attack purpose from the vulnerability information. This paper describes a technique for constructing a knowledge graph that associates NVD and MITER ATT&CK. Specifically, we proposed a method to associate CVE and ATT&CK by estimating the link between CVE and CAPEC. As an experiment, we linked 82 CVEs to MITRE ATT&CK Techniques.7 CVEs were linked to ATT&CK, and 1 of them could be linked to ATT&CK correctly. Based on these results, we discussed whether it is effective to estimate the link between CVE and CAPEC in order to associate CVE and ATT&CK.