ATT&CK兄弟項目D3FEND：為安全人員量身打造的新型知識圖譜

什么是 D3FEND？

D3FEND 是 Mitre 新發布的一款框架，通過建立一門通識語言，幫助網絡安全從業者共享策略和方法。同時它也是ATT&CK框架的兄弟項目。

但這兩個項目之間差異非常大。

ATT&CK 是一個知識庫，將攻擊者用于網絡滲透的工具、技術、方法通過框架進行分類。而 D3FEND 是一張知識圖譜，能夠對安全供應商號稱的產品功能及效果進行分析。Mitre 的首席網絡工程師、D3FEND 模型的設計者 Peter Kaloroumakis 介紹說：“D3FEND 是語言學與生物信息學的整合，它建立了一套專門針對計算機網絡防護技術的術語，能夠明確揭示攻擊手段與防護手段之間很多的隱含關系”。Peter 為之已經研究了數年，正如模型發布時他所提到的，“D3FEND 能夠使網絡安全專家們針對特定的安全威脅制定防護策略，從而減少系統潛在的攻擊暴露面。”

Mitre D3FEND 架構

D3FEND 由三個主要部分組成：

? 一張匯集防護手段的知識圖譜，由美國20年來積累的網絡安全專利庫存檔分析總結得來。圖譜包含了一個分類詞匯表，涵蓋5個主要分類，每個分類對應一個防護手段：加固、監測、隔離、欺騙、驅離。圖譜中每一項技術都能夠鏈接跳轉到源代碼示例。

? 一系列用于訪問數據的用戶接口。圖譜支持以不同格式下載，包括 OWL2 描述邏輯，以及 RDF 表述方式等。不過這些格式可能并非安全專家們熟悉的格式，這些都是廣泛用于全球 web 和數據模型的常見語言。

? 一種將防護手段與 ATT&CK 模型進行映射的方式。Peter 說：“我們希望 D3FEND 能夠澄清一款安全產品的真正功能，減少人們花費在供應商市場宣傳材料上的時間。”他還說道：“不同于 ATT&CK，我們并不希望 D3FEND 框架成為一種規范，我們希望為安全防護手段建立起通用的描述語言和通用的詞匯表。”兩者另一個不同之處在于：ATT&CK 使用的是 STIX 及 TAXII 協議，能夠與相支持的安全軟件或工具自動交互，但目前 D3FEND 仍更偏向于針對人工使用。

Mitre D3FEND 是如何設計出來的？

D3FEND 是人們第一次對所有的防護手段數據進行綜合研判，要把它們合理地匯聚起來是一件非常困難的事。使用專利庫作為該項目的原始材料是痛并快樂的。Peter 在入職 Mitre 以前是 Bluvector.io 的 CTO，當時他在查看專利庫存檔時有了設計 D3FEND的 靈感。他說：“專利庫中的技術詳情千差萬別，符合要求的條目屈指可數，絕大部分條目都語焉不詳，很難直接利用。”

他驚訝于專利庫中成千上萬的存檔數量。有些供應商提交的專利超過100條。Peter 說，他并沒有把每個安全專利都納入集合，相反，他使用集合本身作為一種手段，建立了項目最終的分類和知識圖譜。同時他想強調的是，專利存檔中如果提到了某個技術方法或特定的技術手段，并不代表這個方法已經有了與之相對應的落地產品。

舉個栗子，圖譜中收錄了一個方法 URL analysis。該方法通過分析URL中所使用的域名、端口號以及 URL 來源上下文，例如來自郵件還是web鏈接，來判斷該URL是善意的還是惡意的。這個方法鏈接的是Sophos 提交的原始專利，其中展示了與之對應的各種 ATT&CK 技術，例如釣魚、網頁掛馬等等。

Mitre D3FEND生態系統的開端

D3FEND 的設計酬勞已由 NSA 支付給 Mitre，因此，該框架可供所有人自由使用、擴展。在 D3FEND 的聲明中，已經有至少一個開源項目合并其中，該項目幫助人們將框架中的方法翻譯為使用 Python 腳本查詢指令的 ATT&CK 方法。Mitre 希望更多第三方能夠盡快整合加入進來，就像ATT&CK已經建立的工具供應商生態系統一樣。

D3FEND 并不希望止步于此，它嘗試變得更加全面。Peter說，“可以預見，不遠的將來網絡安全專利集里針對網絡安全防護手段的知識圖譜中，不會再有片面的公有分析方法”。

NIST 所支持的網絡安全防御矩陣（Cyber Defense Matrix）經過多年發展，已經變得更加抽象且繁瑣。Peter 說，“現存的網絡安全知識庫其結構及準確程度不足以匹配目前的各類需求”。他稱之為防護手段與防護機制（或實際運轉）間的割裂。D3FEND 的最終目標是指出供應商是否使用了不同的方法來嘗試解決相同的問題，例如識別潛在的惡意代碼段。他認為這個項目將會幫助IT管理員找出目前安全產品中的功能上的重疊部分，指引他們重點關注某個功能區域中的所有變化，進而使他們針對網絡安全架構做出更好的防護決策。