Vultron

Vultron은 CVD(조정된 취약성 공개)를 위한 연합, 분산 및 오픈 소스 프로토콜의 생성을 탐색하는 연구 프로젝트입니다. 이는 소프트웨어 취약점에 대한 글로벌 대응을 조정하는 CERT/CC의 수십 년 간의 경험을 바탕으로 성장했습니다. 목표는 정보 처리 시스템(소프트웨어, 하드웨어, 서비스 등)의 취약점 공개를 조정하고 독립적인 조직 프로세스 및 정책 전반에 걸쳐 상호 운용성 커뮤니티를 구축하기 위해 모든 조직에서 사용할 수 있는 프로토콜을 만드는 것입니다. 취약점에 대한 적절한 대응을 조정하기 위해 협력합니다.

Vultron은 아이디어, 모델, 코드 및 진행 중인 작업의 모음이며 아직 프로덕션에 사용할 준비가 되지 않았습니다.

Vultron은 취약성 공개 및 대응 조정을 개선하기 위한 CERT/CC 작업의 연속입니다. 이 분야의 이전 작업에는 다음이 포함됩니다.

• 조정된 취약성 공개에 대한 CERT 가이드(버전 1.0, 버전 2.0)

• 취약성 대응 우선순위 지정: 이해관계자별 취약성 분류(SSVC)(버전 1.0, 버전 2.0, github )

• VINCE(취약성 정보 및 조정 환경)(블로그 게시물, github )

• 등 다양한 관련 연구를 진행하고 있습니다.

  • 사이버 보안 정보 공유: 조정된 취약점 공개의 이메일 코퍼스 분석
  • 익스플로잇 가용성 타임라인의 과거 분석

최근에는 CERT/CC가 이 지식을 CVD 프로토콜로 공식화하기 위해 노력하고 있습니다. 이 작업은 A State-Based Model for Multi-Party Coordinated Vulnerability Disclosure(MPCVD)로 시작되었으며 Are We Skillful 또는 Just Lucky?라는 요약 형식으로도 나타납니다. ACM Journal Digital Threats: Research and Practice 에서 취약점 공개의 가능한 이력 해석. 2022년에 우리는 프로세스 모델링 작업과 VINCE 구축 경험에서 파생된 Coordinated Vulnerability Disclosure 사용자 스토리 모음을 게시했습니다. 같은 해에 우리는 이 저장소에 포함된 작업의 기초가 되는 Vultron 설계: MPCVD(Multi-Party Coordinated Vulnerability Disclosure)를 위한 프로토콜을 출판했습니다.

불트론은 다음과 같습니다.

• 조정된 취약성 공개와 관련된 단계를 나타내는 일련의 고급 프로세스
• 해당 프로세스의 상호 작용을 설명하는 공식 프로토콜
• 사람이 따라야 하는 절차 또는 최소한의 사람 입력으로 상태 변경에 응답하여 작업을 수행할 수 있는 코드(많은 경우)로 구현될 수 있는 일련의 동작 논리입니다.
• CVD 케이스 처리 과정에서 참여자 상태 및 전체 케이스 상태를 추적하는 데 필요한 정보에 대한 최소 데이터 모델

위 내용은 처음에 Vultron 설계: MPCVD(Multi-Party Coordinated Vulnerability Disclosure) 보고서에 설명되어 있습니다.

이 저장소에서 우리는 해당 보고서에 설명된 프로토콜 및 동작 논리를 구현하기 위한 첫 번째 단계를 수행하고 있습니다. 현재 작업은 형식 프로토콜을 ActivityPub 프로토콜의 구문 및 의미에 매핑하는 데 중점을 두고 있습니다. 해당 방향의 첫 번째 단계 예는 문서/예제에서 찾을 수 있습니다.

Vultron은 특정 제품을 즉시 대체할 수 없습니다 .

• 추적 시스템 (예: Bugzilla, Jira)
• CVD 또는 위협 조정 도구 (예: VINCE, MISP)
• 취약점 공개 프로그램 (예: DC3 VDP)
• 취약점 공개 플랫폼 또는 서비스 (예: HackerOne, Bugcrowd, Synack)

대신, Vultron이 해당 시스템과 서비스 간의 취약성 사례 조정 정보 교환을 위한 공용어 역할을 할 수 있기를 바랍니다.

Vultron은 SSVC 및 CVSS와 같은 일반적인 우선 순위 지정 체계와 호환되도록 고안되었지만 취약성 우선 순위 지정 도구는 아닙니다.

Vultron은 제품을 의도한 것이 아니라 다양한 CVD 관련 제품 및 서비스에서 구현하여 이들 간의 상호 운용성을 가능하게 하는 기능 세트를 의미합니다.

CVD 프로세스 모델링, 형식화 및 설명 작업에 대한 자세한 내용은 다음을 참조하세요.

• Vultron 설계: MPCVD(Multi-Party Coordinated Vulnerability Disclosure)를 위한 프로토콜(2022)은 Vultron의 초기 보고서입니다.
  • Vultron의 SEI 블로그 게시물(2022-09-26)
  • Vultron의 SEI 팟캐스트(2023-02-24)
• 조정된 취약성 공개에 대한 CERT 가이드(2017, 2019)
• 다자간 조정 취약성 공개(MPCVD)를 위한 상태 기반 모델(2021)
  • (축약) 우리는 능숙한가요, 아니면 그냥 운이 좋은가요? 취약점 공개의 가능한 이력 해석(2022)
• 조정된 취약점 공개 사용자 스토리(2022)
• 사이버 보안 취약성 관리 생태계의 다중 방법 모델링 및 분석(2019)은 CVD 및 관련 프로세스에 대해 수행한 일부 관련 시스템 역학 및 에이전트 기반 모델링의 스냅샷입니다.
• Coordinated Vulnerability Disclosure is a Concurrent Process(2015)는 CVD 프로세스의 여러 이전 모델을 살펴보고 CVD 프로세스의 동시성 측면을 공식적으로 설명하려는 초기 시도 중 일부를 보여주는 오래된 강연입니다.

우리는 이러한 노력을 위해 올바른 라이센스 모델을 계속 연구하고 있지만 현재로서는 이 저장소에 포함된 저작권 표시가 적용됩니다.

이 주제에 대한 피드백(저작권/라이센스로 인해 이 프로젝트에서 우리와 협력하는 데 어려움이 있는지 여부 포함)이 있는 경우 문제를 통해 알려주시기 바랍니다.