ATT&CK兄弟项目D3FEND:为安全人员量身打造的新型知识图谱
什么是 D3FEND?
D3FEND 是 Mitre 新发布的一款框架,通过建立一门通识语言,帮助网络安全从业者共享策略和方法。同时它也是ATT&CK框架的兄弟项目。
但这两个项目之间差异非常大。
ATT&CK 是一个知识库,将攻击者用于网络渗透的工具、技术、方法通过框架进行分类。而 D3FEND 是一张知识图谱,能够对安全供应商号称的产品功能及效果进行分析。Mitre 的首席网络工程师、D3FEND 模型的设计者 Peter Kaloroumakis 介绍说:“D3FEND 是语言学与生物信息学的整合,它建立了一套专门针对计算机网络防护技术的术语,能够明确揭示攻击手段与防护手段之间很多的隐含关系”。Peter 为之已经研究了数年,正如模型发布时他所提到的,“D3FEND 能够使网络安全专家们针对特定的安全威胁制定防护策略,从而减少系统潜在的攻击暴露面。”
Mitre D3FEND 架构
D3FEND 由三个主要部分组成:
Mitre D3FEND 是如何设计出来的?
D3FEND 是人们第一次对所有的防护手段数据进行综合研判,要把它们合理地汇聚起来是一件非常困难的事。使用专利库作为该项目的原始材料是痛并快乐的。Peter 在入职 Mitre 以前是 Bluvector.io 的 CTO,当时他在查看专利库存档时有了设计 D3FEND的 灵感。他说:“专利库中的技术详情千差万别,符合要求的条目屈指可数,绝大部分条目都语焉不详,很难直接利用。”
他惊讶于专利库中成千上万的存档数量。有些供应商提交的专利超过100条。Peter 说,他并没有把每个安全专利都纳入集合,相反,他使用集合本身作为一种手段,建立了项目最终的分类和知识图谱。同时他想强调的是,专利存档中如果提到了某个技术方法或特定的技术手段,并不代表这个方法已经有了与之相对应的落地产品。
举个栗子,图谱中收录了一个方法 URL analysis。该方法通过分析URL中所使用的域名、端口号以及 URL 来源上下文,例如来自邮件还是web链接,来判断该URL是善意的还是恶意的。这个方法链接的是Sophos 提交的原始专利,其中展示了与之对应的各种 ATT&CK 技术,例如钓鱼、网页挂马等等。
Mitre D3FEND生态系统的开端
D3FEND 的设计酬劳已由 NSA 支付给 Mitre,因此,该框架可供所有人自由使用、扩展。在 D3FEND 的声明中,已经有至少一个开源项目合并其中,该项目帮助人们将框架中的方法翻译为使用 Python 脚本查询指令的 ATT&CK 方法。Mitre 希望更多第三方能够尽快整合加入进来,就像ATT&CK已经建立的工具供应商生态系统一样。
D3FEND 并不希望止步于此,它尝试变得更加全面。Peter说,“可以预见,不远的将来网络安全专利集里针对网络安全防护手段的知识图谱中,不会再有片面的公有分析方法”。
NIST 所支持的网络安全防御矩阵(Cyber Defense Matrix)经过多年发展,已经变得更加抽象且繁琐。Peter 说,“现存的网络安全知识库其结构及准确程度不足以匹配目前的各类需求”。他称之为防护手段与防护机制(或实际运转)间的割裂。D3FEND 的最终目标是指出供应商是否使用了不同的方法来尝试解决相同的问题,例如识别潜在的恶意代码段。他认为这个项目将会帮助IT管理员找出目前安全产品中的功能上的重叠部分,指引他们重点关注某个功能区域中的所有变化,进而使他们针对网络安全架构做出更好的防护决策。
英文原文:
https://www.csoonline.com/article/3625470/mitre-d3fend-explained-a-new-knowledge-graph-for-cybersecurity-defenders.html
参考阅读