图技术增强网络安全态势感知能力，使其更具可伸缩性、灵活性和全面性

挑战

网络环境不断变化，影响着美国政府机构的安全态势
机构。入侵警报、杀毒警告，甚至看似良性的事件，如登录、
服务连接和文件共享访问，都可能与敌对活动相关。

MITRE的网络安全研究人员需要超越对安全
态势和攻击响应的初步评估。这样做需要将孤立的数据融合成更高层次的
关于全网络攻击漏洞和任务准备情况的知识。

这不仅包括查看事件本身，还包括查看它们之间的关系。
它们。

“问题不在于信息的缺乏，而在于将零散的
信息整合到一个整体分析图景中，以便进行态势感知、制定最优行动方案
并维持任务准备，”MITRE首席网络安全工程师Steven Noel说道。

Noel和他的团队也难以完全理解特定的安全环境并
映射所有已知漏洞。具体来说，这些目标需要一个灵活的架构，能够
支持高级分析、即席查询和图可视化，而这些都是他们当时
缺乏的。

为了克服这些挑战，MITRE团队首先构建了一个初步的图
模型工具，称为Cauldron。然而，Cauldron不是基于数据库构建的。因此，随着关联数据
查询变得越来越广泛，Cauldron的性能不足，而且MITRE团队
没有时间编写每一个可能的查询。

解决方案

当Noel和他的团队发现Neo4j图数据库时，他们利用从
Cauldron中获得的经验教训，开发了CyGraph，一个将网络安全信息转化为
知识的工具。

CyGraph（基于Neo4j中实现的属性图模型）将
孤立的数据和事件整合起来，形成持续的全局视图，用于决策支持和态势
感知。“在CyGraph架构中，模型模式可以随着可用
数据源和所需的分析而自由演变，而不是在设计时就固定下来，”Noel说。

通过这种方式，动态演进的CyGraph为恰当应对
攻击和保护任务关键型网络资产提供了背景信息。它还整合了任务
依赖关系，展示了目标、任务和信息如何都依赖于其他网络资产。

特别是，其知识库提供了一个丰富的框架，用于探索与机构任务准备相关的实体
和关系的完整堆栈。

借助图技术，CyGraph能够优先处理任务关键型资产中暴露的漏洞。
在面对攻击时，它将入侵警报与已知漏洞路径关联起来，并
建议行动方案。对于攻击后的取证，它显示了需要
更深入检查的漏洞路径。