MITRE 案例研究

图技术为网络安全态势感知提供更可扩展、灵活和全面的功能

挑战

网络环境不断变化，影响着美国政府机构的安全态势。入侵警报、反病毒警告，甚至像登录、服务连接和文件共享访问等表面上无害的事件，都可能与敌方活动有关。

MITRE 的网络安全研究人员需要超越对安全态势和攻击响应的基本评估。这样做需要将孤立的数据合并成对整个网络攻击漏洞和任务就绪情况的高级知识。

这不仅涉及查看事件本身，还涉及查看事件之间的关系。

“问题不在于信息缺乏，而在于如何将不同的信息片段汇集成整体分析图景，以实现态势感知、最佳行动方案和维护任务就绪状态，”MITRE 首席网络安全工程师 Steven Noel 表示。

Noel 和他的团队也难以完全理解给定的安全环境并映射所有已知漏洞。具体而言，这些目标需要一种灵活的架构，以适应高级分析、临时查询和图可视化，而这些都是他们之前所缺乏的。

为了克服这些挑战，MITRE 团队开始构建一个名为 Cauldron 的初步图模型工具。然而，Cauldron 不是建立在数据库上的。因此，随着连接数据查询变得越来越广泛，Cauldron 的性能并不理想，MITRE 团队也没有时间为每种可能的查询编写代码。

解决方案

当 Noel 和他的团队发现 Neo4j 图数据库时，他们利用从 Cauldron 中汲取的经验教训，开发了 CyGraph，这是一个将网络安全信息转换为知识的工具。

CyGraph 基于 Neo4j 中实现的属性图模型，将孤立的数据和事件整合到一个持续的全局图景中，以支持决策和态势感知。Noel 说：“在 CyGraph 架构中，模型模式可以根据可用数据源和所需的分析自由演变，而不是在设计时固定。”

通过这种方式，动态演变的 CyGraph 为对攻击做出适当反应和保护任务关键型网络资产提供了上下文。它还包含任务依赖关系，显示目标、任务和信息如何依赖于其他网络资产。

特别是，其知识库为探索与机构任务就绪状态相关的实体和关系的完整堆栈提供了丰富的框架。

借助图技术，CyGraph 能够优先考虑任务关键型资产中的暴露漏洞。面对攻击，它将入侵警报与已知的漏洞路径相关联，并建议行动方案。对于攻击后取证，它显示了需要深入检查的漏洞路径。