图形技术支持网络安全态势感知

MITRE公司

MITRE Corporation是一家由联邦政府资助的非营利性公司，管理着美国各地的七个国家研发实验室——包括国家安全中心——以解决网络安全问题。 MITRE 成立于 1958 年，从事国防、能源、航空、医疗保健和网络安全等多个领域的项目，在其公私合作伙伴关系和独立研究项目中拥有 8,000 多名员工。

MITRE 的网络安全研究人员需要超越对安全态势和攻击响应的基本评估。这样做需要将孤立的数据合并到网络范围内的攻击漏洞和任务准备情况的更高层次的知识中。

Noel 和他的团队还难以完全理解给定的安全环境并映射所有已知的漏洞。具体来说，这些目标需要一个灵活的架构来适应高级分析、即席查询和图形可视化，而这些都是他们当时所缺乏的。

当 Noel 和他的团队发现 Neo4j 图形数据库时，他们利用从 Cauldron 中学到的经验开发了 CyGraph，这是一种将网络安全信息转化为知识的工具。

它还包含任务依赖关系，显示目标、任务和信息如何全部依赖于其他网络资产。

特别是，它的知识库提供了一个丰富的框架，用于探索与机构任务准备相关的实体和关系的完整堆栈。

借助图技术，CyGraph 能够优先处理关键任务资产中暴露的漏洞。面对攻击，它将入侵警报与已知的漏洞路径相关联，并提出行动方案。对于攻击后取证，它显示了需要更深入检查的易受攻击的路径。

• With the implementation of CyGraph, MITRE now provides services with specialized analytic and visual capabilities that are more scalable, flexible, and comprehensive. CyGraph's comprehensive knowledge base tells a much more complete story than that of basic attack graphs or mission dependency models. It includes potential attack-pattern relationships that fill in gaps between known vulnerabilities and threat indicators. A key design feature of CyGraph is its ability to leverage existing tools and data sources to populate its knowledge base. It uses various security standards and tools such as Topological Vulnerability Analysis, MITRE’s Cyber Command System, and Crown Jewels Analysis. CyGraph also has the ability to visualize unpredictable patterns, allowing users to obtain analytic results and comprehend the semantics of their environment. It is used by multiple government agencies to help them achieve their mission, with use cases including detecting malicious network activity, modeling and simulation of cyberattacks, tracking Bitcoin transactions, and navigating through CAPEC.