MITRE所做,唯在简单

在网络安全界,MITRE公司是鼎鼎有名。像披露漏洞时用到的CVE,以及描述攻击技战术的ATT&CK等,都出自MITRE。

MITRE机构组成

MITRE名义上是一家公司,其实是美国的一个国家级科研机构,它管理着6个FFDRC。这里的FFDRC,全称是联邦资助研发中心(Federally Funded Research and Development Center),相当于是美国的国家重点实验室。NSF(美国国家科学基金会)2015年的名单里面,这样的FFDRC共有41个,其中包括橡树岭国家实验室、阿贡国家实验室、阿拉莫斯国家实验室、托马斯﹒杰斐逊国家加速器实验设施等全球著名的实验室。网络安全界常常提起的MITRE,就是MITRE名下的国家网络安全FFDRC,除了它之外,MITRE还管理着国家安全工程中心、高级飞行系统开发中心、国土安全系统工程及开发研究所等其他5个FFDRC。

MITRE所做,唯在简单

图1:MITRE部门组成

关于NCF

美国国家网络安全FFDRC,简称NCF,它成立于2014年,是美国唯一的一家网络安全方面的FFDRC,名义上属于MITRE公司管理,实际上是美国国家标准与技术研究院(NIST)下属的一家研究中心。它的主要职责是为NIST提供建议,以及为美国网络安全卓越中心提供支持,定位是美国商业信息基础设施遇到的最严峻的网络安全挑战。为了不与MITRE管理的其他FFDRC产生混淆,以下将以MITRE(NCF)指代MITRE管理的国家网络安全FFDRC。

NCF工作成果

MITRE(NCF)成立以来的工作成果主要包括CVE(Common Vulnerabilities and Exposures,通用漏洞披露)、CWE(Common Weakness Enumeration,通用缺陷列举)、CAPEC(Common Attack Pattern Enumeration and Classification(攻击模式列举及分类)、STIX(Structured Threat Information Expression,结构化威胁信息表示)、以及ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge,攻击技战术常识)。

归纳起来,MITRE(NCF)的成果可以分为两种类型,一类涉及信息交换的内容及格式,如CVE、STIX;另一类涉及事情的分类与列举,如CWE、CAPEC及ATT&CK。乍看起来,前者就是做个Word模板,后者就是做个Excel表格,所有工作只需要有Office办公系统就能全部搞定,实在没有什么技术含量,简直与它的 “网络安全国家重点实验室”的身份极不相符。但细品之下,我们会发现,MITRE(NCF)的这几项工作,实际上是十分重要的。

首先,MITRE(NCF)的工作针对的都是网络安全防御需要优先解决的基础性问题。CWE对所有可能出现的漏洞进行分类列举,CAPEC对所有可能出现的攻击模式进行分类列举,ATT&CK对常见的攻击技战术进行分类描述,有了这些,就能让人对可能遇到的网络安全问题及可能遭受的网络攻击有一个比较全面的认识,并在此基础上制定一套比较完整而不是零散的应对方案。

其次,MITRE(NCF)的工作是建立在已有案例甚至是已有成果的基础上,与实际情况十分符合。以ATT&CK为例,它是MITRE(NCF)在分析以往各种威胁调查报告的基础上,形成的关于攻击技战术的总结。因为是对现实案例的总结,这套模型的内容与真实情况高度一致,所以具有重要的参考和应用价值。

第三,MITRE(NCF)的工作具有极高的可操作性。还是以ATT&CK为例,在它之前也有过关于攻击技战术的模型,如Lockheed Martin公司提出的杀伤链模型,以及FireEye公司提出的攻击生命周期模型。应该说,在刻画攻击过程方面,这两个模型比ATT&CK更加接近实际,但因为它们缺乏关于威胁行为过程的细节描述,很难利用起来。ATT&CK模型虽然在描画攻击过程上不如上面两个模型,但因为对于威胁行为几乎每一步的操作都有较详细的描述,并进行了编号管理,这使得对于威胁行为攻击行动的描述,进入到了一种标准化和半结构化的程度,十分方便对于网络威胁行为的刻画、分析、管理及交流,具有极高的可操作性,这也是ATT&CK被广泛使用的主要原因。

第四,MITRE(NCF)的工作使得交流、协作过程变得更为流畅。网络安全防御并不是单纯的技术问题,它需要各种具有不同知识背景的人员的广泛交流和通力协作。交流和合作的过程中,因为认识上的不同以及其他许多原因,在描述同一件事情时,不同人员往往会有不同的表述方式,这样很容易出现理解错误,从而给交流与合作带来障碍。MITRE(NCF)将事务的描述统一化,将信息交换的内容结构化、格式标准化,使得大家用同一种“语言”说同一件事,减少了分歧,在很大程度上缓解了交流与合作过程中“各说各话”的问题。

总结

正是基于以上原因,尽管MITRE(NCF)的工作看起来十分简单,但其工作成果却受到了整个安全领域的极大认同,并得到了全面采纳和广泛应用。从现实应用效果看,做这些基础性的研究工作,为网络安全研究奠基,符合MITRE(NCF)作为“国家重点实验室”的身份定位,也符合其作为标准制定机构NIST下属科研中心的职能定位。

本文为CNTIC原创,转载请保留出处与链接。

声明:本文来自国家网络威胁情报共享开放平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

本文转为转载文章,本文观点不代表威客安全立场。