新闻资讯
全部分类

超级网络安全集团大揭秘:MITRE

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-07-27 16:39
  • 访问量:

【概要描述】MITRE,什么?你不认识?身份为超级网络安全集团,天地和兴从创新领域、价值观、发展背景为您揭开它的神秘面纱~~~

超级网络安全集团大揭秘:MITRE

【概要描述】MITRE,什么?你不认识?身份为超级网络安全集团,天地和兴从创新领域、价值观、发展背景为您揭开它的神秘面纱~~~

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2020-07-27 16:39
  • 访问量:
详情

  MITRE,什么?你不认识?但你一定听过CVE(公共漏洞和暴露),它定义了一个漏洞的专属命名编号,对信息安全行业影响深远,至今仍在广泛使用;也一定听过CWE(通用缺陷列表)吧,这是一个对软件脆弱性和易受攻击性进行分类的系统;引领国际网络安全攻防潮流的安全技术战术知识库框架MITRE ATT&CK框架你一定有听说过吧,这些都是MITRE公司所研发的。这是一个非营利组织,通过美国联邦政府资助和与其他公私企业或部门合作而获取研发资金,但它的员工待遇却好得令人羡慕,曾多次被评为美国最适宜工作的公司,绝大部分研发资金为员工工资和公司设备购买。MITRE之所以能够成功,这与MITRE公司对待人才的待遇有着必然联系。他们所做的工作,跨度之广,脑洞之大,从帮助美国疾控中心建立疫情监控系统,合作对抗新型冠状病毒的大流行,到帮助国土安全部研发物联网入侵检测和监控系统来帮助其判断是否从美国边境偷渡或者在“案发现场”。但即便如此,我们知道的也仅仅是其所对外公布的,通常大多数研究成果都会保密。他们总是以公共利益为工作,与政府、工业界、学术界相合作。

 

  一、MITRE概况

  接下来将从创新领域、价值观、发展背景来为大家介绍MITRE公司。

  1. MITRE的背景

  MITRE诞生于冷战时代,其前身是麻省理工学院的林肯实验室,当时美国空军为了能够精确掌握敌军战机的来袭动态,便请求麻省理工学院帮助他们建立一个防空系统,于是建立成了研究所,并提出半自动地面环境(SAGE),通过解和雷达、无线电和网络通信等技术来检测敌机。该研究所管理者于1958年建立Mitre公司,并管理SAGE未来发展。SAGE于1963年开始运作,通过一次次技术的融入与进步,SAGE也成为了美国第一个现代化防空系统。

  1970进入下一个主要计划:国防部情报信息系统,至今仍在使用;

  1990与美国联邦航空局首次合作,建立一个心得FFRDCs(军方编外研究机构);

  2010-2014 Mitre成为三个FFRDCs的管理者;

  至今:他们在与美国疾控中心合作,共同对抗新型冠状病毒,通过创建模型来追踪流行病,并且研发出远程医疗套件等来帮助人们对抗流行病。

  纵观MITRE的发展史,以对空领域为起点,横向的发展之广,捣毁过暗网市场,研究过生物科技,网络安全,研发过嵌入式入侵检测系统,抵抗过新冠病毒,参与国防建设等等,但从纵向发展来看,他们的深度依旧很深,掌握着核心技术,引领世界潮流,这就是MITRE在技术领域的庞大“帝国”。

  2.MITRE使命和价值观

  MITRE以建立一个更安全的世界为使命,以不产生其他利益,同政府合作,培育世界级卓越人才和研发世界级卓越技术为价值观。正式因为这样的使命和价值观,使得MITRE能够专注于最卓越的技术的研发,一步一步发展到堪称网络安全领域的一个“帝王”。

  3.创新领域

  在多个领域我们都能看到MITRE的身影。从人工智能、直观数据科学、量子信息科学、网络弹性、卫生信息学、空间安全、政治和经济学、网络威胁等领域都有着创新成果。2005年,MITRE的车队参加美国自动驾驶汽车竞赛(DARPA)荣获23名的决赛资格。其创新甚至可以说从地表蔓延至太空——小型卫星的网络安全技术。

  4.MITRE的客户

  MITRE的客户包括了美国国防部、联邦航空管理局、美国国税局、美国退伍军人事务部和国土安全部等。除此之外,MITRE 还向各国民航管理机构、机场管理公司、航空公司及其他航空组织提供空中交通管理(ATM)系统工程、航空运营、空域设计以及系统自动化与集成等领域的专门知识和技术支持。

  5.MITRE的研究中心

  MITRE的各个组织的名声可能远比“MITRE”这个名字更有威慑力,MITRE主要由:由国防部支持的国家安全工程中心、由美联航管理局所支持的先进航空系统开发中心、由国税局和退伍军人事业部支持的企业现代化中心、由国土安全部支持的国土安全系统工程与发展研究所、由美国法院支持的司法工程与现代化中心、由医疗保险和医疗补助服务中心所支持的CMS联盟医疗现代化中心、由国家标准技术研究所所支持的国家网络安全FFRDC。

 

  二网络安全--MITER的核心

  网络安全,一直是MITRE公司的核心技术之一,其提出的CVE,CWE,网络态势感知等等都成为了网络安全领域的标杆。

  1.CVE

  CVE是一个公开发布软件或固件中所有已知漏洞的“字典”,供公司企业查询自身面临风险。

  然而CVE现在的效果已经引起了争议,CVE无疑是个伟大的概念:公开发布软件或固件中所有已知漏洞的“字典”,供公司企业查询自身面临风险。然而,在MITRE发起该项目18年后,关于其效果,有了很多争议。

  在各处公布的所有漏洞中,商业数据库目前跟踪到了约80%,CVE在60%到80%之间。于是做风险决策的时候,盲区有50%左右。这是很严重的缺失,目前由52913个漏洞没有CVE编号,缺失率已经高达33%。

  如果你拥有一个其报告包含CVE标识符引用的安全工具,你就可以获得另一个兼容CVE的数据库中的修复信息。CVE还提供了一个评估工具覆盖范围的基线。

  2.CWE

  常见缺陷列表(Common Weakness Enumeration)是MITRE公司继CVE(CommonVulnerabilities and Exposures)之后的又一个安全漏洞词典。通过这一词典,Mitre希望提供识别、减轻、阻止软件缺陷的通用标准。CWE也可以作为人们购买软件的安全衡量标准,尤其是在购买旨在阻止或发现具体安全问题的安全工具时。

  “CWE兼容”是软件安全类产品重要的标志之一,产品或服务与“CWE”兼容,意味着工具、网站、数据库或者服务使用CWE名称,用户可通过产品搜索到相关的CWE信息,同时厂商和相关的安全机构也会向CVE提供关于漏洞研究方面的相关资料。“CWE兼容”以作为产品的重要等级标志被用户和管理人员所认可。

  CWE,先后推出了CWSS(Common Weakness Scoring System)和CWRAF(Common Weakness Risk Analysis Framework)工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分。

  3.MITRE网络态势感知解决方案

  北约通信和信息局(NATO Communications and Information Agency (NCIA) Request for Information (RFI),NCIA)信息请求(RFI)寻求一种多国网络防御态势感知(cyber defense situational awareness ,CDSA)能力。MITRE已经开发过一系列提供技术解决方案。特定的NCIA RFI CDSA use案例被用于根据总体CDSA需求确定MITRE能力的方向。MITRE的大部分工作都集中在主要RFI场景“Oranjeland APT”中描述的解决方案上。这些工具是根据定义良好的需求和需求进行评估和获取的。它们使用聚合工具集成到更高级别的CDSA视图,比如安全信息和事件管理(SIEM)以及日志管理产品或自定义开发的数据处理管道。NCIA RFI根据CSSA解决方案满足三个场景中35个用例的能力来定义CDSA解决方案。

  其中一套全面的CDSA功能主要包括四个核心领域:

  a.威胁分析(Threat Analysis)——理解和跟踪威胁场景和参与者,以及他们使用的战术、技术和程序(TTPs)。

  b.依赖和影响分析(Dependency & Impact Analysis)——理解任务和资产之间的相互依赖关系,以识别弹性弱点和推断任务影响。

  c.替代方案的分析(Analysis of Alternatives,AoA)——确定潜在的行动路线(Courses of Action,CoAs)和其他威胁缓解措施,探索有效的重构方法,并评估架构现代化的影响。

  d.新兴解决方案(Emerging Solutions)——继续推进实践状态,提供新的解决方案,填补关键空白。

  MITRE的四个核心领域对应着十个主要工作。下图展示了每一个核心领域所对应的主要工作。

  

图1:四个核心领域

  

图2:四个核心领域所对应的十项主要工作

 

  4.网络防御态势的项目

  a.战术、技术和过程框架(ATT&CK)

  这是MITRE的一个开发框架,用于建模和分类高级持久威胁(APT)的利用后动作。ATT&CK模型可用于描述访问后的敌对行为。通过详细描述初始后访问(后利用和植入)战术、技术和过程(TTP)高级持久威胁(APT)来帮助确定网络防御的优先级。

  ATT&CK将开发后的APT之 TTPs分为11类。ATT&CK确定了上百种不同的APT技术。它们对应着11类中的一个或多个,图3为框架所区分的11类。

  

图3:ATT&CK的11类

 

  ATT&CK是一个非常宝贵的威胁分类框架,用于识别传感器和检测漏洞,以及开发AOA弹性方法的对策。

  随着工控安全问题的日益严峻,且工控安全一旦被攻击,所造成的损失是难以估量的,现有的ATT&CK框架难以完善的解决工控安全问题。MITRE公司于今年对ATT&CK框架进行更新,新加入了ATT&CK for ICS技术框架作为工控安全知识库的核心,并罗列了10个威胁团体、81种攻击技术以及17个恶意软件家族。建立了针对工控系统安全的该框架,以帮助资产所有者和维护者了解工业控制系统的手段和技术,帮助其提升防御能力、开发事件响应手册以及发现漏洞等。

  b.威胁协作研究(CRITs)

  威胁协作研究(Collaborative Research Into Threats,CRITs)是一个可扩展的协作防御恶意软件和威胁数据的平台。CRITs是一种开源恶意软件和威胁存储库,可利用其他开源软件为从事威胁防御的分析师和安全专家创建统一的工具。

  通过PassiveTotal CRITs服务,分析人员可以直接从CRITs平台访问我们的所有数据集并进行充实,从而可以快速充实和分类指标。

  c.皇冠珠宝分析(CJA)

  MITRE的皇冠珠宝分析(Crown Jewels Analysis ,CJA)是一个过程和相应的工具集,用于“识别那些对完成一个组织的使命至关重要的网络资产”。一直到系统部署。依赖关系图从确定任务和分配相对优先级开始。从那里,依赖关系通过运营任务和系统功能流向网络资产。这些依赖关系定性地表示为失败或降级的子节点对父节点的影响,并提供了最小化主观性的规定。通过一个完整的模型,CJA可以根据每个父/子逻辑语句的实现来预测网络资产失效/降级的影响,跟踪潜在的影响,并将其上升到高级使命任务和目标。

  

图4:皇冠珠宝分析模型图

 

  d. 网络指挥系统

  网络指挥系统(Cyber Command System,CyCS)是MITRE验证网络态势感知工具。“CyCS”通过使任务操作映射到支持这些任务的网络操作,以实现改进网络空间任务保障的目标。该工具通过态势感知和影响分析提供任务影响评估。CyCS通过漏洞、威胁和后果管理来解决高度分布式企业系统的任务保障挑战。通过CyCS可以展示先进的网络安全能力。

  

图5:网络指挥系统流程

 

  e. 威胁评估和补救分析

  威胁评估和补救分析(Threat Assessment and Remediation Analysis,TARA)解决方案定义了一种用于评估网络体系结构以识别网络漏洞和评估对抗有效性的方法。

  TARA使用下图中所示的三步评估方法。第一步是知识管理(KM)。KM提供用于评估每个系统体系结构的外部威胁向量和对抗信息的最新目录。下一步是在目标架构上执行网络威胁敏感性分析(CTSA)。CTSA利用CJA以及CRITs和STIX定义来识别系统架构中的漏洞。CTSA生成一个漏洞矩阵,用于最后一步——网络风险补救评估(CRRA)。CRRA将这个矩阵与KM对抗知识相结合来开发剧本。TARA playbook为评估的体系结构提供了优先级的对策和备选CoAs列表,可以根据风险、成本或进度约束进行调整。

  

图6:三步评估法

 

  三其他创新项目

  MITRE公司在一些其他领域也与其他公司有着合作,它不是专门执着于某一个方向的公司,而是一个真正的“IT”公司,甚至可以说是超过了“IT”这个领域。

  1. 与美疾控中心共同抵抗新冠病毒

  Mitre与美国疾病控制与预防中心签订了一份合同,合同要求Mitre公司协助其遏制新冠病毒大流行。Mitre通过创建疾病模型来跟踪流行病,并确定哪些“非药物干预”可以帮助其扭转趋势。

  MITRE在对公共卫生进行安全监控和报告方面的研究开发了“ Sara Alert™ ”,这个工具可以帮助公共卫生部门遏制COVID-19的传播。并与UVA Health合作开发快速反应试剂盒,并基于系统工程、决策支持、数据分析、移动网络安全、获取操作和临床专业知识方面开发除了远程医疗套件。最初的套件包括温度计、脉搏血氧仪、血压袖带和听诊器等。

  2.从社交媒体的指纹提取

  MITRE可以通过社交媒体上的图像来捕捉生物特征,通过从这些图像中提取指纹特征来确定他的个人信息。如果你出现在Facebook某新闻媒体的照片中,做了某个手势,你的指纹信息可能就会被MITRE收集,但出于隐私保护,他们承诺不会从Facebook上搜罗所有可用指纹,但当你可能是犯罪嫌疑人的时候,他们就会收集指纹。不得不说,这是一个很优秀的信息采集技术,但同时也可能意味着严重的隐私泄露。

  3.物联网设备的入侵与窥探技术

  通过定位并入侵智能手表、扬声器、电视和安全摄像头、家庭自动化设备或者任何可以归类为物联网系统的设备来今昔窥探。并可帮助边境官员通过“快速探测和利用安全或犯罪现场环境中的物联网设备以证明其存在”,或者用于“物理安全边界”,以黑进“通过或接近边界”的设备来监视想要非法入境的人。或者证明犯罪嫌疑人在犯罪现场。目前这项技术只在边境保护局使用过。但人权组织认为这是一种侵犯人权的行为。

  4.人类气味作为欺骗的生物特征

  在2011年最后一份研究报告摘要中研究人员说:“研究结果表明,在气味的可测量量差异确实可以取分出说谎的人和不说谎的人”,这真是细思极恐,当你和别人交流的时候,你随意的一个谎言都会被识破,仪器可能会通过你的气味来确定你是否说谎了。

  5.人工智能保护关键基础设施

  当今最强大的人工智能是机器学习,然而机器学习也可能被攻击。这些漏洞存在于机器学习中的每个领域,包括计算机视觉、语音识别和自然语言处理等。为了应对这些漏洞,MITRE公司正在开发一个与供应商无关的AI供应链漏洞评估工具的生态系统。

  MITRE计划采用对抗性方法实现AI安全,其实现需要独立的操作以确保安全,他们必须保护敏感数据的安全且要在识别风险方面保持透明;需要去了解AI攻击媒介迅速发展的格局,攻击者可能会在ML系统生命周期的何时在何种地方进行攻击。

  6.移动技术

  世界正在向着移动设备的方向发展,越来越多的笔记本电脑和台式电脑转向了智能手机和平板电脑。便携的移动设备在重量、成本和适应性方面有着很大优势,而MITRE则在功能和成本之间去创造了平衡,同时保护数据和网络的尖端移动解决方案。他们为“虚拟智能手机”发布开源软件,提供更好的数据保护和安全环境,并且在其中构建安全应用程序。合作开发“奈特勇士”安卓程序,“奈特勇士”安卓包比目前的士兵装备携带着更多的通信技术。

 

  四总结与启示

  MITRE是一家以网络安全,航空科技为核心技术的企业。它不起眼到可能你身边的每一个人都不认识,但他的所作所为却让每一个人所知晓。他们常常与政府合作,帮助美国政府做一些研发,比如嵌入式设备的窥探技术,也与军队合作,建立了美国第一个现代化防空系统;在生物科技上他们研究过微生物与宿主的关系,在医疗领域帮助人们对抗新冠病毒。其在网络安全中提出的CVE和CWE影响深远,至今仍然是主流漏洞命名方式,其在网络态势感知上也有较为系统的解决方案,其中的ATT&CK正在引领网络安全攻防对抗的创新潮流。正是这么一家以技术为核心,以人才为支柱的公司,成为了网络安全领域技术创新的领航者。

关键词:

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号