一、背景介绍
2021年6月22日(美国时间),美国MITRE公司发布了D3FEND-网络安全对策知识图谱。MITRE D3FEND是由美国国家安全局(NSA)资助,由MITRE 公司的NSEC(National Security Engineering Center)进行管理发布,现在的版本为0.9.2-BETA-3。
我们都知道ATT&CK 框架是一个关于进攻战术和技术的知识库。一直以来,关于网络安全对抗领域的知识库始终缺失。安全厂商需要利用ATT&CK框架其中的具体技术点与商业红队进行沟通,进行防御和检测能力覆盖,提高防御能力。没有一个专门的框架来描述防御对抗策略。在此背景下,NSA资助MITRE发布了D3FEND,作为ATT&CK 的补充。虽然现在发布的D3FEND是不完整,还处于早期阶段,但是,我们也要看到此版本的D3FEND建立了模型和知识图谱,并且利用数字工件(Digital Artifacts)概念建立了与ATT&CK的映射,应该说已经很好的完成了框架模型的建立。我们有理由相信,后续在NSA的强力背书和MITRE成熟的社区运营经验下,依托ATT&CK的影响力,D3FEND会越来越完善。
二、D3FEND 是什么
D3FEND 是关于网络安全对策技术的知识库,更具体地说是网络安全对策技术知识图谱。从最简单的意义上讲,它是防御性网络安全技术以及其与进攻技术关系的知识的目录。D3FEND 最初版本的主要目标是促进防御性网络安全技术功能词汇的标准化。
三、为什么要建立D3FEND
据MITRE称:在我们发起人的项目工作中,我们反复遇到了一个模型的需求,该模型能够识别并精确地指定网络安全对抗组件和能力。此外,实践者不仅需要知道一种能力声称要应对哪些威胁,而且还需要知道从工程的角度来看如何应对这些威胁,以及在什么情况下解决方案能够起作用。这些知识对于评估操作的适用性、漏洞和开发包含多种功能的企业解决方案至关重要。为了在短期内解决这个反复出现的需求,我们创建了D3FEND,一个框架,在这个框架中我们编码了一个对抗知识库,但更具体地说,是一个知识图谱。该图包含严格的语义类型和关系,定义了网络安全对抗领域中的关键概念以及将这些概念相互链接所需的关系。
四、构建D3FEND的方法论
1、框架、模型和知识图谱
MITRE使用了三种关键的信息组织方法来创建D3FEND。最初使用概念框架来表示,即以图形或叙述的形式解释要研究的主要事物,关键因素、结构或变量,以及它们之间的假定关系 [1]。进一步,通过建立领域知识模型,“减少概念和术语的混淆”,促使这些知识能交流、重用和合作 [2]。最后,通过知识图谱的方法提供了一个灵活的知识表示,并因此能够对领域进行复杂的机器推理。
为了能够清晰、有效的规范对策能力,MITRE根据上述方法,将目标定为:
(1)提供一个概念框架,其中包含网络对抗领域的领域知识模型;
(2)填充框架和模型以完成知识图;
(3)将网络安全对策与ATT&CK框架的攻击性技术建立关联关系,并进一步扩大到与更多的结构化网络知识相关联。
2、构建D3FEND的数据来源
用于构建D3FEND的数据来源能够支持系统地理解网络安全对策的新方法。研究团队以一种自下而上的方式,通过直接吸纳报告文献中的研究开发了该模型,通过具体引文将每个对策与文献联系起来,并将它们集成到更高层次的抽象中。构建D3FEND的数据来源包括专利、现有知识库和其他数据源。
(1)专利:每年有数千份有关网络安全防御技术和方法的专利提交申请。研究团队下载了从2001年到2019年1月的所有美国专利局文件。图1中的关键短语搜索显示,网络安全专利的发布率不断提高。这其中40%的美国专利发明没有被使用。这些专利中大约有一半是为了阻止竞争对手或在公司间的谈判中用作讨价还价的筹码。
(2) 现有的知识库:研究团队分析了MITRE网络分析库[3](https://car.mitre.org/),并将其分析映射到D3FEND的alpha版本。其后,研究团队分析了ATT&CK知识库,并开发了一种将其与D3FEND相关联的方法,在本文第五节中将会详细描述这种方法。
(3) 其他数据来源:研究团队还分析了其他数据来源。其中一些资源包括学术论文、技术规范和公开的产品技术文档。
在审查这些数据源后,研究团队确定这些可用的知识产权文件可以作为网络安全对策知识图谱的基础。研究团队也希望由此得到的知识图谱能够连贯一致,对网络安全架构师有用。基于专利语料库的范围、特异性和可用性,构建了D3FEND知识图谱。这些数据来源以各种形式和场所发布或公开。示例数据源如图2所示。
3、分析过程
MITRE研究团队手动分析、总结和制定描述知识产权文档中包含的防御技术的语义。然后小组在数据库中记录分析,创建一个新的标记数据集。这就产生了一个数据库,其中包含对抗技术词汇表,以及对描述概念的源文档的引用。虽然这个过程非常依赖研究团队成员的专业知识,但对于开发对抗空间的初始语义模型是必要的。此外, MITRE小组计划利用这些分析来研究训练算法,以改进初始模型并加速新对抗技术的开发和识别。
该研究团队审查了500多项基于多个标准选择的网络安全专利,并对这些专利进行了大量的技术细节分析。该研究团队最初专注于面向“检测”(Detect)的供应商,因为团队熟悉该领域。研究团队从IDC的《全球网络安全产品分类》(Worldwide Cybersecurity Products Taxonomy,2019)[4]中选择了供应商,并分析了他们的专利。虽然其中一些技术不仅仅是检测未经授权的活动,但是研究团队合并了这些附加技术,并将它们分类到D3FEND知识图中。
技术的数据输入类型是理解技术如何工作并将其固定到防御技术的关键因素。MITRE以前的工作侧重于围绕对象枚举的分析开发,尽管枚举的范围侧重于过程对象,而不是整个对策空间 [5]。这使得该研究团队创建了D3FEND数字工件本体,以更高的特异性定义这些数据输入类型。这一概念将在第五部分中进一步讨论。
五、D3FEND的模型
“D3FEND”是指D3FEND的所有组件,包括:知识图谱、知识图谱用户界面和知识模型。
1、知识图谱用户界面
D3FEND的“知识图谱用户界面”结构分为:防御战术、基础技术和防御技术。
防御战术( defensive tactic ):防御者对敌人采取的策略,即“什么”行动。位于图的第一行。一种隐含的国家概念是用战术术语来表达的。防御者如果不能发现敌人,就不能驱逐敌人;如果敌人不在那里,他也不能发现敌人。理想情况下,防守球员应该在对手突破之前加固他的环境。如图4所示,防御战术是对敌方行动的一种反应。这些都是面向行动的,精心挑选的术语来概括多种技术。D3FEND确定的防御策略有强化(Harden)、检测(Detect)、隔离(Isolate)、欺骗(Deceive)、驱逐(Evict)。
基础技术(base techniques):D3FEND将顶层技术区分为基础技术和其他技术,所有其他技术都是从基础技术派生出来的。基础技术在图3的第二行。主要包括:应用程序强化(Application Hardening)、凭证强化(Credential Hardening)、消息强化(Message Hardening)、平台强化(Platform Hardening);文件分析(File Analysis)、标识符分析(Identifier Analysis)、消息分析(Message Analysis)、网络流量分析(Network Traffic Analysis)、平台监控(Platform Monitoring)、进程分析(Process Analysis)、用户行为分析(User Behavior Analysis);执行隔离(Execution Isolation)、网络隔离(Network Isolation)、诱饵环境(Decoy Environment)、诱饵对象(Decoy Object)、凭证被驱逐(Credential Eviction)、过程被驱逐(Process Eviction)。
防御技术:技术是用来运用这些行动的方法——“如何”实施战术。我们说这些战术是由技术促成的。更具体的防御技术出现在基础技术下面的列中。技术只属于一种基础技术;一般来说,技术形成了从最一般到最具体的层次结构。为清楚起见,图3中只描述了防御技术层次结构的两个层次。最后,单个技术中的带圆圈数字表示为开发该技术而分析的源文档的数量。
2、D3FEND知识图谱
目前正在开发的D3FEND知识图谱是一种特殊类型的知识库。它将概念模型(即知识模型)与特定的事实联系起来。它是一个实例、它们的关系和它们的类型的图结构。
3、D3FEND知识模型
D3FEND知识模型有几个关键的顶级概念,如图4所示。类的层次结构显示为金箭头,而这些核心概念之间的基本关系用蓝线表示。该核心用于排列概念实例并组织构成 D3FEND 知识图谱的关系断言。
六、与ATT&CK进攻技术的映射
1、数字工件(Digital Artifacts)
D3FEND中的一个关键结构是数字工件本体( Digital Artifact Ontology- DAO)。该本体指定了对网络安全分析中感兴趣的数字对象进行分类和表示所需的概念。在D3FEND知识模型中,当网络参与者(无论是防御性的还是进攻性的)以任何方式与数字对象交互时,数字对象就变成了数字工件。为了确保合理的建模范围,D3FEND知识模型只关心捕获与已知网络参与者和已知技术相关的数字工件的知识——而不是所有可能的数字对象或它们的表示。
在网络安全分析领域之前也有一些词汇表,这些词汇表列出并定义网络防御行动中使用的常见概念。但是这些词汇表有些局限性。
(1)这些词汇表通常是句法(syntactic)的而不是语义(semantic)的;
(2)这些词汇表包括特定供应商的概念;
(3)这些词汇表是枚举的而不是分类的;
(4)这些词汇表没有指定概念之间的关系;
(5) 他们的职责是安全运营和事件响应与能力工程。基于这些局限性,MITRE认为有必要将D3FEND DAO开发为更抽象的语义结构,以统一表示,并支持与供应商无关的推理。
数字工件不需要被观察到或可获得,但它必须是存在的。一个数字工件也可以包含其他工件,因此支持复合工件的表示。参见图6所示。
数字工件也划定了D3FEND知识模型的概念范围。例如,强密码策略属于范围,因为它直接影响组织的技术配置基线,因此它涉及到数字工件。作为一个反例,许多组织开展员工网络安全意识培训项目。培训项目不直接与数字工件交互,因此不在范围内。一个攻击者当他开发软件漏洞、发送恶意钓鱼链接或在目标环境中远程操作主机时,他在自己的系统、中间系统和目标系统上都创建了数字工件。图5以简化的方式说明了进攻和防守技术之间的这些相互作用。
2、进攻性和防御性技术都与数字工件相关联
网络安全分析师需要知道网络防御如何覆盖网络攻击,反之亦然。因此,我们需要一种合理的机制来详细指定这两者之间的关联。我们的方法侧重于使用数字工件作为概念化和实例化关系的基础。进攻性和防御性技术都与数字工件相关联,其中关联的是用于生成、执行、分析、访问和安装等更具体关系的一般关系类型。D3FEND知识模型还支持进攻性和防御性技术之间更具体的关系类型,例如观察、检测和应对。这种分层方法的主要好处是,我们可以通过分析每种技术与数字工件之间的关系来推断进攻性技术和防御性技术之间的关系。这允许我们推断这些特定类型的关系,而不需要手动或直接将进攻性技术与防御性技术联系起来(图6)。数字工件——每一个都是孤立的——我们可以积累知识,并通过推理获得额外的知识和见解,否则就需要明确的枚举。
七、D3FEND发展路线图
D3FEND具有两个长期发展目标。一是建立一个可持续的知识框架,描述与之相关的网络安全对策技术;二是加快知识发现和获取工作,紧跟网络安全领域的技术变革。
依据上述的长期目标,D3FEND项目有三个后续重点发展的路线:
一、为从业者改进和演示模型实用性
二、分析、深化和拓宽模型
三、随着行业变化更新模型
【1】M. B. Miles and A. M. Huberman, “Qualitative Data Analysis: An Expanded Sourcebook,” Thousand Oaks, CA: Sage Publications, 1994.
【2】M. Missikoff, P. Velardi, and P. Fabriani, “Text Mining Techniques to Automatically Enrich a Domain Ontology,” Applied Intelligence, vol. 3, no. 18, pp. 323–350, 2003.
【3】 The MITRE Corporation, “MITRE Cyber Analytics Repository”
【4】The MITRE Corporation, “CAR Data Model,” 30 October 2019.
【5】International Data Corporation, “IDC’s Worldwide Cybersecurity Products Taxonomy, 2019,” 2019.
【6】Toward a Knowledge Graph of Cybersecurity Countermeasures
天元实验室
天元实验室专注于新型实战化攻防对抗技术研究。研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。
绿盟科技M01N战队
绿盟科技M01N战队专注于Red Team、APT等高级攻击技术、战术及威胁研究,涉及Web安全、终端安全、AD安全、云安全等相关领域。通过研判现网攻击技术发展方向,以攻促防,为风险识别及威胁对抗提供决策支撑,全面提升安全防护能力。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。