六、与ATT(2)这些词汇表包括特定供应商的概念;
(3)这些词汇表是枚举的而不是分类的;
(4)这些词汇表没有指定概念之间的关系;
(5) 他们的职责是安全运营和事件响应与能力工程。
基于这些局限性,MITRE认为有必要将D3FEND DAO开发为更抽象的语义结构,以统一表示,并支持与供应商无关的推理。数字工件不需要被观察到或可获得,但它必须是存在的。一个数字工件也可以包含其他工件,因此支持复合工件的表示。参见图6所示。
图6. 通过数字工件本体的推理映射数字工件也划定了D3FEND知识模型的概念范围。
例如,强密码策略属于范围,因为它直接影响组织的技术配置基线,因此它涉及到数字工件。作为一个反例,许多组织开展员工网络安全意识培训项目。培训项目不直接与数字工件交互,因此不在范围内。一个攻击者当他开发软件漏洞、发送恶意钓鱼链接或在目标环境中远程操作主机时,他在自己的系统、中间系统和目标系统上都创建了数字工件。图5以简化的方式说明了进攻和防守技术之间的这些相互作用。
进攻性和防御性技术都与数字工件相关联
网络安全分析师需要知道网络防御如何覆盖网络攻击,反之亦然。因此,我们需要一种合理的机制来详细指定这两者之间的关联。我们的方法侧重于使用数字工件作为概念化和实例化关系的基础。进攻性和防御性技术都与数字工件相关联,其中关联的是用于生成、执行、分析、访问和安装等更具体关系的一般关系类型。D3FEND知识模型还支持进攻性和防御性技术之间更具体的关系类型,例如观察、检测和应对。这种分层方法的主要好处是,我们可以通过分析每种技术与数字工件之间的关系来推断进攻性技术和防御性技术之间的关系。这允许我们推断这些特定类型的关系,而不需要手动或直接将进攻性技术与防御性技术联系起来(图6)。数字工件——每一个都是孤立的——我们可以积累知识,并通过推理获得额外的知识和见解,否则就需要明确的枚举。
七、D3FEND发展路线图
D3FEND具有两个长期发展目标。一是建立一个可持续的知识框架,描述与之相关的网络安全对策技术;二是加快知识发现和获取工作,紧跟网络安全领域的技术变革。
依据上述的长期目标,D3FEND项目有三个后续重点发展的路线:
一、为从业者改进和演示模型实用性
二、分析、深化和拓宽模型
三、随着行业变化更新模型【1】M. B. Miles and A. M. Huberman, “Qualitative Data Analysis: An Expanded Sourcebook,” Thousand Oaks, CA: Sage Publications, 1994.【2】M. Missikoff, P. Velardi, and P. Fabriani, “Text Mining Techniques to Automatically Enrich a Domain Ontology,” Applied Intelligence, vol. 3, no. 18, pp. 323–350, 2003.【3】 The MITRE Corporation, “MITRE Cyber Analytics Repository”【4】The MITRE Corporation, “CAR Data Model,” 30 October 2019.【5】International Data Corporation, “IDC’s Worldwide Cybersecurity Products Taxonomy, 2019,” 2019.【6】Toward a Knowledge Graph of Cybersecurity Countermeasures