ATT&CK兄弟项目D3FEND:为安全人员量身打造的新型知识图谱

安全能力图谱
2年前

mitre_0.jpg

什么是 D3FEND?

  D3FEND 是 Mitre 新发布的一款框架,通过建立一门通识语言,帮助网络安全从业者共享策略和方法。同时它也是ATT&CK框架的兄弟项目。

  但这两个项目之间差异非常大。

  ATT&CK 是一个知识库,将攻击者用于网络渗透的工具、技术、方法通过框架进行分类。而 D3FEND 是一张知识图谱,能够对安全供应商号称的产品功能及效果进行分析。Mitre 的首席网络工程师、D3FEND 模型的设计者 Peter Kaloroumakis 介绍说:“D3FEND 是语言学与生物信息学的整合,它建立了一套专门针对计算机网络防护技术的术语,能够明确揭示攻击手段与防护手段之间很多的隐含关系”。Peter 为之已经研究了数年,正如模型发布时他所提到的,“D3FEND 能够使网络安全专家们针对特定的安全威胁制定防护策略,从而减少系统潜在的攻击暴露面。”

20210915221725.png

Mitre D3FEND 架构

  D3FEND 由三个主要部分组成:

  • 一张汇集防护手段的知识图谱,由美国20年来积累的网络安全专利库存档分析总结得来。图谱包含了一个分类词汇表,涵盖5个主要分类,每个分类对应一个防护手段:加固、监测、隔离、欺骗、驱离。图谱中每一项技术都能够链接跳转到源代码示例。

  • 一系列用于访问数据的用户接口。图谱支持以不同格式下载,包括 OWL2 描述逻辑,以及 RDF 表述方式等。不过这些格式可能并非安全专家们熟悉的格式,这些都是广泛用于全球 web 和数据模型的常见语言。

  • 一种将防护手段与 ATT&CK 模型进行映射的方式。Peter 说:“我们希望 D3FEND 能够澄清一款安全产品的真正功能,减少人们花费在供应商市场宣传材料上的时间。”他还说道:“不同于 ATT&CK,我们并不希望 D3FEND 框架成为一种规范,我们希望为安全防护手段建立起通用的描述语言和通用的词汇表。”两者另一个不同之处在于:ATT&CK 使用的是 STIX 及 TAXII 协议,能够与相支持的安全软件或工具自动交互,但目前 D3FEND 仍更偏向于针对人工使用。

Mitre D3FEND 是如何设计出来的?

  D3FEND 是人们第一次对所有的防护手段数据进行综合研判,要把它们合理地汇聚起来是一件非常困难的事。使用专利库作为该项目的原始材料是痛并快乐的。Peter 在入职 Mitre 以前是 Bluvector.io 的 CTO,当时他在查看专利库存档时有了设计 D3FEND的 灵感。他说:“专利库中的技术详情千差万别,符合要求的条目屈指可数,绝大部分条目都语焉不详,很难直接利用。”

  他惊讶于专利库中成千上万的存档数量。有些供应商提交的专利超过100条。Peter 说,他并没有把每个安全专利都纳入集合,相反,他使用集合本身作为一种手段,建立了项目最终的分类和知识图谱。同时他想强调的是,专利存档中如果提到了某个技术方法或特定的技术手段,并不代表这个方法已经有了与之相对应的落地产品。

  举个栗子,图谱中收录了一个方法 URL analysis。该方法通过分析URL中所使用的域名、端口号以及 URL 来源上下文,例如来自邮件还是web链接,来判断该URL是善意的还是恶意的。这个方法链接的是Sophos 提交的原始专利,其中展示了与之对应的各种 ATT&CK 技术,例如钓鱼、网页挂马等等。

Mitre D3FEND生态系统的开端

  D3FEND 的设计酬劳已由 NSA 支付给 Mitre,因此,该框架可供所有人自由使用、扩展。在 D3FEND 的声明中,已经有至少一个开源项目合并其中,该项目帮助人们将框架中的方法翻译为使用 Python 脚本查询指令的 ATT&CK 方法。Mitre 希望更多第三方能够尽快整合加入进来,就像ATT&CK已经建立的工具供应商生态系统一样。

  D3FEND 并不希望止步于此,它尝试变得更加全面。Peter说,“可以预见,不远的将来网络安全专利集里针对网络安全防护手段的知识图谱中,不会再有片面的公有分析方法”。

  NIST 所支持的网络安全防御矩阵(Cyber Defense Matrix)经过多年发展,已经变得更加抽象且繁琐。Peter 说,“现存的网络安全知识库其结构及准确程度不足以匹配目前的各类需求”。他称之为防护手段与防护机制(或实际运转)间的割裂。D3FEND 的最终目标是指出供应商是否使用了不同的方法来尝试解决相同的问题,例如识别潜在的恶意代码段。他认为这个项目将会帮助IT管理员找出目前安全产品中的功能上的重叠部分,指引他们重点关注某个功能区域中的所有变化,进而使他们针对网络安全架构做出更好的防护决策。


英文原文:点击查看


参考阅读

2021年世界各国政府出台的九项重大网络安全政策

谷歌投资100亿美元推动美国网络安全

数世观察:2021年度网络安全十大市场热点