解锁网络防御新思维：D3FEND 五大策略如何对抗 ATT&CK

D3FEND 简介

背景介绍

2021年6月22日（美国时间），美国MITRE公司正式发布了D3FEND——一个网络安全对策知识图谱。该项目由美国国家安全局（NSA）资助，并由MITRE的国家安全工程中心（NSEC）负责管理和发布，目前版本为0.9.2-BETA-3。作为广为人知的ATT&CK框架的补充，ATT&CK聚焦于攻击者的战术和技术知识库，而长期以来，网络安全领域一直缺乏一个专门针对防御对策的系统化框架。安全厂商通常利用ATT&CK中的技术细节与商业红队沟通，以提升检测与防御能力覆盖，但缺乏一个明确的防御策略描述工具。在此背景下，NSA支持MITRE推出了D3FEND，以填补这一空白。

尽管当前版本的D3FEND仍不完整，处于早期开发阶段，但它已成功构建了模型和知识图谱，并通过“数字工件”（Digital Artifacts）概念与ATT&CK建立了映射，初步奠定了框架基础。可以预见，凭借NSA的强力支持、MITRE丰富的社区运营经验以及ATT&CK的广泛影响力，D3FEND将在未来不断完善，成为网络安全防御领域的重要工具。

D3FEND 是什么

D3FEND是一个聚焦网络安全对策技术的知识库，更具体地说，是一个网络安全对策技术的知识图谱。简而言之，它系统化地编目了防御性网络安全技术及其与攻击技术的关联。其初始版本的核心目标是推动防御性网络安全技术功能词汇的标准化，为行业提供统一的描述语言。

D3FEND全称“检测、拒绝和干扰框架，赋能网络防御”（Detection, Denial, and Disruption Framework Enabling Network Defense）。它通过将防御技术分类为不同的策略和具体措施，为安全专业人员提供识别和实施针对性防御的工具。与ATT&CK聚焦攻击者行为不同，D3FEND为防御措施提供了系统化的方法和标准化的表达方式，帮助组织构建更加高效的网络安全防御体系。

为什么要建立 D3FEND

据MITRE所述，在与资助者的项目合作中，他们反复发现业界对一个模型的需求：该模型需能够准确识别并定义网络安全对抗的组件与能力。实践者不仅需要了解某种防御能力针对哪些威胁有效，还需从工程角度明确其实现方式，以及在何种条件下这些解决方案能够发挥作用。这些知识对于评估防御措施的适用性、识别潜在漏洞，以及开发多功能的企业级解决方案至关重要。

为满足这一迫切需求，MITRE创建了D3FEND框架。该框架不仅编码了一个对抗知识库，更具体地构建了一个知识图谱。这一图谱包含严格的语义类型和关系，清晰定义了网络安全对抗领域的核心概念及其相互联系，为防御策略的制定提供了坚实基础。

D3FEND 与 ATT&CK 的关系

D3FEND与ATT&CK框架形成互补关系。ATT&CK详细描述了攻击者的策略、技术和程序（TTPs），而D3FEND则专注于防御措施的系统化呈现，并通过与ATT&CK的映射，帮助组织针对已知的攻击技术制定相应的防御策略。这种攻防结合的模式，为网络安全从业者提供了从威胁识别到应对实施的完整工具链，显著提升了防御能力的设计与落地效率。

---

D3FEND 的策略和技术

D3FEND 将防御措施分为 5 个主要策略，每个策略下包含若干具体技术。以下是每个策略及其技术的详细说明：

加固（Harden）

加固策略旨在通过减少漏洞和加强配置，使系统更具抗攻击能力。

• 应用程序加固（Application Hardening）：通过输入验证、安全编码和定期更新等方式保护应用程序。
• 凭证加固（Credentials Hardening）：通过强密码策略、多因素认证和安全存储加强用户凭证保护。
• 消息加固（Message Hardening）：使用加密、安全协议和消息认证保护通信渠道和传输数据。
• 平台加固（Platform Hardening）：通过应用安全补丁、配置安全设置和减少攻击面来保护操作系统和平台。

检测（Detect）

检测策略专注于识别网络中的潜在威胁或恶意活动。

• 文件分析（File Analysis）：分析文件以检测恶意软件、异常或未经授权的更改。
• 标识符分析（Identifier Analysis）：分析 IP 地址、用户 ID 或设备 ID 等标识符，检测可疑模式或活动。
• 消息分析（Message Analysis）：检查网络流量或消息，寻找入侵或数据外泄的迹象。
• 网络流量分析（Network Traffic Analysis）：监控和分析网络流量，检测异常模式或已知攻击签名。
• 平台监控（Platform Monitoring）：监控平台的健康和安全状态，包括系统日志、性能指标和安全事件。
• 进程分析（Process Analysis）：分析运行中的进程，检测任何恶意或未经授权的进程。
• 用户行为分析（User Behavior Analysis）：监控用户活动，识别与正常行为偏差的迹象，可能表明安全事件。

隔离（Isolate）

隔离策略通过创建逻辑或物理屏障，遏制威胁并防止其扩散或升级。

• 执行隔离（Execution Isolation）：隔离潜在恶意代码的执行环境，防止影响系统其他部分。
• 网络隔离（Network Isolation）：分割网络，限制威胁在特定段内的移动和影响。

欺骗（Deceive）

欺骗策略通过误导攻击者，将其引向受控环境，观察和分析其行为。

• 诱饵环境（Decoy Environment）：设置模拟真实系统的环境，吸引攻击者并研究其策略。
• 诱饵对象（Decoy Object）：放置看似有价值的诱饵文件或数据，监控以检测和分析入侵。

清除（Evict）

清除策略旨在完全移除网络中的威胁，恢复系统到安全状态。

• 凭证清除（Credentials Eviction）：撤销或重置可能已被攻破的凭证。
• 进程清除（Process Eviction）：终止恶意或未经授权的进程。
• 文件清除（File Eviction）：从系统中移除或隔离恶意文件或数据。

---

具体技术与应用

策略	技术	描述
加固（Harden）	应用程序加固	通过安全编码和更新减少应用程序漏洞。
	凭证加固	使用强密码和多因素认证保护用户凭证。
	消息加固	使用加密和安全协议保护通信数据。
	平台加固	通过补丁和配置减少操作系统和平台的攻击面。
检测（Detect）	文件分析	分析文件以检测恶意软件或异常。
	标识符分析	分析 IP 地址等标识符，检测可疑活动。
	消息分析	检查网络流量，寻找入侵迹象。
	网络流量分析	监控网络流量，检测异常模式或攻击签名。
	平台监控	监控系统日志和安全事件，检测平台异常。
	进程分析	分析运行进程，检测恶意或未经授权的活动。
	用户行为分析	监控用户活动，识别与正常行为偏差的潜在威胁。
隔离（Isolate）	执行隔离	隔离恶意代码执行环境，防止系统其他部分受影响。
	网络隔离	分割网络，限制威胁在特定段内的传播。
欺骗（Deceive）	诱饵环境	设置模拟系统，吸引攻击者以研究其行为。
	诱饵对象	放置诱饵文件，监控以检测和分析入侵。
清除（Evict）	凭证清除	撤销或重置可能被攻破的凭证。
	进程清除	终止恶意或未经授权的进程。
	文件清除	移除或隔离恶意文件，恢复系统安全。

---

参考资料

• MITRE D3FEND 网络安全防御技术知识库
• 什么是 MITRE D3FEND？ | Exabeam
• MITRE D3FEND：网络防御技术目录 | Chad Warner | Medium
• 什么是 Mitre D3FEND？ | ExtraHop
• 什么是 MITRE ATT&CK 和 MITRE D3FEND？ | D3 Security