D3FEND網(wǎng)絡(luò )安全對策知識圖譜

data-v-04201b88>

一、背景介紹

2021年6月22日（美國時(shí)間），美國MITRE公司發(fā)布了D3FEND-網(wǎng)絡(luò )安全對策知識圖譜。MITRE D3FEND是由美國國家安全局(NSA)資助，由MITRE 公司的NSEC（National Security Engineering Center）進(jìn)行管理發(fā)布，現在的版本為0.9.2-BETA-3。?我們都知道ATT&CK 框架是一個(gè)關(guān)于進(jìn)攻戰術(shù)和技術(shù)的知識庫。一直以來(lái)，關(guān)于網(wǎng)絡(luò )安全對抗領(lǐng)域的知識庫始終缺失。安全廠(chǎng)商需要利用ATT&CK框架其中的具體技術(shù)點(diǎn)與商業(yè)紅隊進(jìn)行溝通，進(jìn)行防御和檢測能力覆蓋，提高防御能力。沒(méi)有一個(gè)專(zhuān)門(mén)的框架來(lái)描述防御對抗策略。在此背景下，NSA資助MITRE發(fā)布了D3FEND，作為ATT&CK 的補充。雖然現在發(fā)布的D3FEND是不完整，還處于早期階段，但是，我們也要看到此版本的D3FEND建立了模型和知識圖譜，并且利用數字工件（Digital ?Artifacts）概念建立了與ATT&CK的映射，應該說(shuō)已經(jīng)很好的完成了框架模型的建立。我們有理由相信，后續在NSA的強力背書(shū)和MITRE成熟的社區運營(yíng)經(jīng)驗下，依托ATT&CK的影響力，D3FEND會(huì )越來(lái)越完善。

二、D3FEND 是什么

D3FEND 是關(guān)于網(wǎng)絡(luò )安全對策技術(shù)的知識庫，更具體地說(shuō)是網(wǎng)絡(luò )安全對策技術(shù)知識圖譜。從最簡(jiǎn)單的意義上講，它是防御性網(wǎng)絡(luò )安全技術(shù)以及其與進(jìn)攻技術(shù)關(guān)系的知識的目錄。D3FEND 最初版本的主要目標是促進(jìn)防御性網(wǎng)絡(luò )安全技術(shù)功能詞匯的標準化。

三、為什么要建立D3FEND

據MITRE稱(chēng)：在我們發(fā)起人的項目工作中，我們反復遇到了一個(gè)模型的需求，該模型能夠識別并精確地指定網(wǎng)絡(luò )安全對抗組件和能力。此外，實(shí)踐者不僅需要知道一種能力聲稱(chēng)要應對哪些威脅，而且還需要知道從工程的角度來(lái)看如何應對這些威脅，以及在什么情況下解決方案能夠起作用。這些知識對于評估操作的適用性、漏洞和開(kāi)發(fā)包含多種功能的企業(yè)解決方案至關(guān)重要。為了在短期內解決這個(gè)反復出現的需求，我們創(chuàng )建了D3FEND，一個(gè)框架，在這個(gè)框架中我們編碼了一個(gè)對抗知識庫，但更具體地說(shuō)，是一個(gè)知識圖譜。該圖包含嚴格的語(yǔ)義類(lèi)型和關(guān)系，定義了網(wǎng)絡(luò )安全對抗領(lǐng)域中的關(guān)鍵概念以及將這些概念相互鏈接所需的關(guān)系。

四、構建D3FEND的方法論

1、框架、模型和知識圖譜?

MITRE使用了三種關(guān)鍵的信息組織方法來(lái)創(chuàng )建D3FEND。最初使用概念框架來(lái)表示，即以圖形或敘述的形式解釋要研究的主要事物，關(guān)鍵因素、結構或變量，以及它們之間的假定關(guān)系 [1]。進(jìn)一步，通過(guò)建立領(lǐng)域知識模型，“減少概念和術(shù)語(yǔ)的混淆”，促使這些知識能交流、重用和合作 [2]。最后，通過(guò)知識圖譜的方法提供了一個(gè)靈活的知識表示，并因此能夠對領(lǐng)域進(jìn)行復雜的機器推理。為了能夠清晰、有效的規范對策能力，MITRE根據上述方法，將目標定為：

（1）提供一個(gè)概念框架，其中包含網(wǎng)絡(luò )對抗領(lǐng)域的領(lǐng)域知識模型；

（2）填充框架和模型以完成知識圖；

（3）將網(wǎng)絡(luò )安全對策與ATT&CK框架的攻擊性技術(shù)建立關(guān)聯(lián)關(guān)系，并進(jìn)一步擴大到與更多的結構化網(wǎng)絡(luò )知識相關(guān)聯(lián)。

2、構建D3FEND的數據來(lái)源

用于構建D3FEND的數據來(lái)源能夠支持系統地理解網(wǎng)絡(luò )安全對策的新方法。研究團隊以一種自下而上的方式，通過(guò)直接吸納報告文獻中的研究開(kāi)發(fā)了該模型，通過(guò)具體引文將每個(gè)對策與文獻聯(lián)系起來(lái)，并將它們集成到更高層次的抽象中。構建D3FEND的數據來(lái)源包括專(zhuān)利、現有知識庫和其他數據源。圖1.2001-2018年美國網(wǎng)絡(luò )安全專(zhuān)利申請

（1）專(zhuān)利：每年有數千份有關(guān)網(wǎng)絡(luò )安全防御技術(shù)和方法的專(zhuān)利提交申請。研究團隊下載了從2001年到2019年1月的所有美國專(zhuān)利局文件。圖1中的關(guān)鍵短語(yǔ)搜索顯示，網(wǎng)絡(luò )安全專(zhuān)利的發(fā)布率不斷提高。這其中40%的美國專(zhuān)利發(fā)明沒(méi)有被使用。這些專(zhuān)利中大約有一半是為了阻止競爭對手或在公司間的談判中用作討價(jià)還價(jià)的籌碼。

（2)? 現有的知識庫:研究團隊分析了MITRE網(wǎng)絡(luò )分析庫[3]（https://car.mitre.org/），并將其分析映射到D3FEND的alpha版本。其后，研究團隊分析了ATT&CK知識庫，并開(kāi)發(fā)了一種將其與D3FEND相關(guān)聯(lián)的方法，在本文第五節中將會(huì )詳細描述這種方法.

（3)? 其他數據來(lái)源:研究團隊還分析了其他數據來(lái)源。其中一些資源包括學(xué)術(shù)論文、技術(shù)規范和公開(kāi)的產(chǎn)品技術(shù)文檔。在審查這些數據源后，研究團隊確定這些可用的知識產(chǎn)權文件可以作為網(wǎng)絡(luò )安全對策知識圖譜的基礎。研究團隊也希望由此得到的知識圖譜能夠連貫一致，對網(wǎng)絡(luò )安全架構師有用?；趯?zhuān)利語(yǔ)料庫的范圍、特異性和可用性，構建了D3FEND知識圖譜。這些數據來(lái)源以各種形式和場(chǎng)所發(fā)布或公開(kāi)。示例數據源如圖2所示。圖2.D3FEND數據源示例

3、分析過(guò)程

MITRE研究團隊手動(dòng)分析、總結和制定描述知識產(chǎn)權文檔中包含的防御技術(shù)的語(yǔ)義。然后小組在數據庫中記錄分析，創(chuàng )建一個(gè)新的標記數據集。這就產(chǎn)生了一個(gè)數據庫，其中包含對抗技術(shù)詞匯表，以及對描述概念的源文檔的引用。雖然這個(gè)過(guò)程非常依賴(lài)研究團隊成員的專(zhuān)業(yè)知識，但對于開(kāi)發(fā)對抗空間的初始語(yǔ)義模型是必要的。此外， MITRE小組計劃利用這些分析來(lái)研究訓練算法，以改進(jìn)初始模型并加速新對抗技術(shù)的開(kāi)發(fā)和識別。該研究團隊審查了500多項基于多個(gè)標準選擇的網(wǎng)絡(luò )安全專(zhuān)利，并對這些專(zhuān)利進(jìn)行了大量的技術(shù)細節分析。該研究團隊最初專(zhuān)注于面向“檢測”（Detect）的供應商，因為團隊熟悉該領(lǐng)域。研究團隊從IDC的《全球網(wǎng)絡(luò )安全產(chǎn)品分類(lèi)》（Worldwide Cybersecurity Products Taxonomy，2019）[4]中選擇了供應商，并分析了他們的專(zhuān)利。雖然其中一些技術(shù)不僅僅是檢測未經(jīng)授權的活動(dòng)，但是研究團隊合并了這些附加技術(shù)，并將它們分類(lèi)到D3FEND知識圖中。?技術(shù)的數據輸入類(lèi)型是理解技術(shù)如何工作并將其固定到防御技術(shù)的關(guān)鍵因素。MITRE以前的工作側重于圍繞對象枚舉的分析開(kāi)發(fā)，盡管枚舉的范圍側重于過(guò)程對象，而不是整個(gè)對策空間 [5]。這使得該研究團隊創(chuàng )建了D3FEND數字工件本體，以更高的特異性定義這些數據輸入類(lèi)型。這一概念將在第五部分中進(jìn)一步討論。

五、D3FEND的模型

“D3FEND”是指D3FEND的所有組件，包括：知識圖譜、知識圖譜用戶(hù)界面和知識模型。

1、知識圖譜用戶(hù)界面

D3FEND的“知識圖譜用戶(hù)界面”結構分為：防御戰術(shù)、基礎技術(shù)和防御技術(shù)。圖3.D3FEND知識圖譜用戶(hù)界面

1.戰術(shù)和技術(shù)概述

防御戰術(shù)（ defensive tactic ）：

防御者對敵人采取的策略，即“什么”行動(dòng)。位于圖的第一行。一種隱含的國家概念是用戰術(shù)術(shù)語(yǔ)來(lái)表達的。防御者如果不能發(fā)現敵人，就不能驅逐敵人;如果敵人不在那里，他也不能發(fā)現敵人。理想情況下，防守球員應該在對手突破之前加固他的環(huán)境。如圖4所示，防御戰術(shù)是對敵方行動(dòng)的一種反應。這些都是面向行動(dòng)的，精心挑選的術(shù)語(yǔ)來(lái)概括多種技術(shù)。D3FEND確定的防御策略有強化（Harden）、檢測（Detect）、隔離（Isolate）、欺騙（Deceive）、驅逐（Evict）。

基礎技術(shù)（base techniques）：

D3FEND將頂層技術(shù)區分為基礎技術(shù)和其他技術(shù)，所有其他技術(shù)都是從基礎技術(shù)派生出來(lái)的?；A技術(shù)在圖3的第二行。主要包括：應用程序強化（Application Hardening）、憑證強化（Credential Hardening）、消息強化（Message Hardening）、平臺強化（Platform Hardening）；文件分析（File Analysis）、標識符分析（Identifier Analysis）、消息分析（Message Analysis）、網(wǎng)絡(luò )流量分析（Network Traffic Analysis）、平臺監控（Platform Monitoring）、進(jìn)程分析（Process Analysis）、用戶(hù)行為分析（User Behavior Analysis）；執行隔離（Execution Isolation）、網(wǎng)絡(luò )隔離（Network Isolation）、誘餌環(huán)境（Decoy Environment）、誘餌對象（Decoy Object）、憑證被驅逐（Credential Eviction）、過(guò)程被驅逐（Process Eviction）。

防御技術(shù)：技術(shù)是用來(lái)運用這些行動(dòng)的方法——“如何”實(shí)施戰術(shù)。我們說(shuō)這些戰術(shù)是由技術(shù)促成的。更具體的防御技術(shù)出現在基礎技術(shù)下面的列中。技術(shù)只屬于一種基礎技術(shù)；一般來(lái)說(shuō)，技術(shù)形成了從最一般到最具體的層次結構。為清楚起見(jiàn)，圖3中只描述了防御技術(shù)層次結構的兩個(gè)層次。最后，單個(gè)技術(shù)中的帶圓圈數字表示為開(kāi)發(fā)該技術(shù)而分析的源文檔的數量。

2、D3FEND知識圖譜

目前正在開(kāi)發(fā)的D3FEND知識圖譜是一種特殊類(lèi)型的知識庫。它將概念模型(即知識模型)與特定的事實(shí)聯(lián)系起來(lái)。它是一個(gè)實(shí)例、它們的關(guān)系和它們的類(lèi)型的圖結構。

3、D3FEND知識模型

圖4.D3FEND 核心知識模型

D3FEND知識模型有幾個(gè)關(guān)鍵的頂級概念，如圖4所示。類(lèi)的層次結構顯示為金箭頭，而這些核心概念之間的基本關(guān)系用藍線(xiàn)表示。該核心用于排列概念實(shí)例并組織構成 D3FEND 知識圖譜的關(guān)系斷言。

六、與ATT&CK進(jìn)攻技術(shù)的映射

1、數字工件（Digital? Artifacts）

D3FEND中的一個(gè)關(guān)鍵結構是數字工件本體（ Digital Artifact Ontology- DAO）。該本體指定了對網(wǎng)絡(luò )安全分析中感興趣的數字對象進(jìn)行分類(lèi)和表示所需的概念。在D3FEND知識模型中，當網(wǎng)絡(luò )參與者(無(wú)論是防御性的還是進(jìn)攻性的)以任何方式與數字對象交互時(shí)，數字對象就變成了數字工件。為了確保合理的建模范圍，D3FEND知識模型只關(guān)心捕獲與已知網(wǎng)絡(luò )參與者和已知技術(shù)相關(guān)的數字工件的知識——而不是所有可能的數字對象或它們的表示。圖5.利用數字工件對進(jìn)攻性和防御性技術(shù)進(jìn)行映射在網(wǎng)絡(luò )安全分析領(lǐng)域之前也有一些詞匯表，這些詞匯表列出并定義網(wǎng)絡(luò )防御行動(dòng)中使用的常見(jiàn)概念。但是這些詞匯表有些局限性。

（1）這些詞匯表通常是句法（syntactic）的而不是語(yǔ)義（semantic）的;

（2）這些詞匯表包括特定供應商的概念；

（3）這些詞匯表是枚舉的而不是分類(lèi)的；

（4）這些詞匯表沒(méi)有指定概念之間的關(guān)系；

（5)? 他們的職責是安全運營(yíng)和事件響應與能力工程。

基于這些局限性，MITRE認為有必要將D3FEND DAO開(kāi)發(fā)為更抽象的語(yǔ)義結構，以統一表示，并支持與供應商無(wú)關(guān)的推理。數字工件不需要被觀(guān)察到或可獲得，但它必須是存在的。一個(gè)數字工件也可以包含其他工件，因此支持復合工件的表示。參見(jiàn)圖6所示。

圖6. 通過(guò)數字工件本體的推理映射數字工件也劃定了D3FEND知識模型的概念范圍。

例如，強密碼策略屬于范圍，因為它直接影響組織的技術(shù)配置基線(xiàn)，因此它涉及到數字工件。作為一個(gè)反例，許多組織開(kāi)展員工網(wǎng)絡(luò )安全意識培訓項目。培訓項目不直接與數字工件交互，因此不在范圍內。一個(gè)攻擊者當他開(kāi)發(fā)軟件漏洞、發(fā)送惡意釣魚(yú)鏈接或在目標環(huán)境中遠程操作主機時(shí)，他在自己的系統、中間系統和目標系統上都創(chuàng )建了數字工件。圖5以簡(jiǎn)化的方式說(shuō)明了進(jìn)攻和防守技術(shù)之間的這些相互作用。

進(jìn)攻性和防御性技術(shù)都與數字工件相關(guān)聯(lián)

網(wǎng)絡(luò )安全分析師需要知道網(wǎng)絡(luò )防御如何覆蓋網(wǎng)絡(luò )攻擊，反之亦然。因此，我們需要一種合理的機制來(lái)詳細指定這兩者之間的關(guān)聯(lián)。我們的方法側重于使用數字工件作為概念化和實(shí)例化關(guān)系的基礎。進(jìn)攻性和防御性技術(shù)都與數字工件相關(guān)聯(lián)，其中關(guān)聯(lián)的是用于生成、執行、分析、訪(fǎng)問(wèn)和安裝等更具體關(guān)系的一般關(guān)系類(lèi)型。D3FEND知識模型還支持進(jìn)攻性和防御性技術(shù)之間更具體的關(guān)系類(lèi)型，例如觀(guān)察、檢測和應對。這種分層方法的主要好處是，我們可以通過(guò)分析每種技術(shù)與數字工件之間的關(guān)系來(lái)推斷進(jìn)攻性技術(shù)和防御性技術(shù)之間的關(guān)系。這允許我們推斷這些特定類(lèi)型的關(guān)系，而不需要手動(dòng)或直接將進(jìn)攻性技術(shù)與防御性技術(shù)聯(lián)系起來(lái)(圖6)。數字工件——每一個(gè)都是孤立的——我們可以積累知識，并通過(guò)推理獲得額外的知識和見(jiàn)解，否則就需要明確的枚舉。

七、D3FEND發(fā)展路線(xiàn)圖

D3FEND具有兩個(gè)長(cháng)期發(fā)展目標。一是建立一個(gè)可持續的知識框架，描述與之相關(guān)的網(wǎng)絡(luò )安全對策技術(shù)；二是加快知識發(fā)現和獲取工作，緊跟網(wǎng)絡(luò )安全領(lǐng)域的技術(shù)變革。
依據上述的長(cháng)期目標，D3FEND項目有三個(gè)后續重點(diǎn)發(fā)展的路線(xiàn)：
一、為從業(yè)者改進(jìn)和演示模型實(shí)用性
二、分析、深化和拓寬模型
三、隨著(zhù)行業(yè)變化更新模型【1】M. B. Miles and A. M. Huberman, “Qualitative Data Analysis: An Expanded Sourcebook,” Thousand Oaks, CA: Sage Publications, 1994.【2】M. Missikoff, P. Velardi, and P. Fabriani, “Text Mining Techniques to Automatically Enrich a Domain Ontology,” Applied Intelligence, vol. 3, no. 18, pp. 323–350, 2003.【3】 The MITRE Corporation, “MITRE Cyber Analytics Repository”【4】The MITRE Corporation, “CAR Data Model,” 30 October 2019.【5】International Data Corporation, “IDC’s Worldwide Cybersecurity Products Taxonomy, 2019,” 2019.【6】Toward a Knowledge Graph of Cybersecurity Countermeasures

本文作者：， 轉載請注明來(lái)自