MITRE，什么？你不认识？但你一定听过CVE（公共漏洞和暴露），它定义了一个漏洞的专属命名编号，对信息安全行业影响深远，至今仍在广泛使用；也一定听过CWE（通用缺陷列表）吧，这是一个对软件脆弱性和易受攻击性进行分类的系统；引领国际网络安全攻防潮流的安全技术战术知识库框架MITRE ATT&CK框架你一定有听说过吧，这些都是MITRE公司所研发的。这是一个非营利组织，通过美国联邦政府资助和与其他公私企业或部门合作而获取研发资金，但它的员工待遇却好得令人羡慕，曾多次被评为美国最适宜工作的公司，绝大部分研发资金为员工工资和公司设备购买。MITRE之所以能够成功，这与MITRE公司对待人才的待遇有着必然联系。他们所做的工作，跨度之广，脑洞之大，从帮助美国疾控中心建立疫情监控系统，合作对抗新型冠状病毒的大流行，到帮助国土安全部研发物联网入侵检测和监控系统来帮助其判断是否从美国边境偷渡或者在“案发现场”。但即便如此，我们知道的也仅仅是其所对外公布的，通常大多数研究成果都会保密。他们总是以公共利益为工作，与政府、工业界、学术界相合作。

接下来将从创新领域、价值观、发展背景来为大家介绍MITRE公司。

• 1970进入下一个主要计划：国防部情报信息系统，至今仍在使用；
• 1990与美国联邦航空局首次合作，建立一个心得FFRDCs（军方编外研究机构）；
• 2010-2014 Mitre成为三个FFRDCs的管理者；

• 至今：他们在与美国疾控中心合作，共同对抗新型冠状病毒，通过创建模型来追踪流行病，并且研发出远程医疗套件等来帮助人们对抗流行病。

MITRE以建立一个更安全的世界为使命，以不产生其他利益，同政府合作，培育世界级卓越人才和研发世界级卓越技术为价值观。正式因为这样的使命和价值观，使得MITRE能够专注于最卓越的技术的研发，一步一步发展到堪称网络安全领域的一个“帝王”。

在多个领域我们都能看到MITRE的身影。从人工智能、直观数据科学、量子信息科学、网络弹性、卫生信息学、空间安全、政治和经济学、网络威胁等领域都有着创新成果。2005年，MITRE的车队参加美国自动驾驶汽车竞赛（DARPA）荣获23名的决赛资格。其创新甚至可以说从地表蔓延至太空——小型卫星的网络安全技术。

MITRE的客户包括了美国国防部、联邦航空管理局、美国国税局、美国退伍军人事务部和国土安全部等。除此之外，MITRE 还向各国民航管理机构、机场管理公司、航空公司及其他航空组织提供空中交通管理(ATM)系统工程、航空运营、空域设计以及系统自动化与集成等领域的专门知识和技术支持。

MITRE的各个组织的名声可能远比“MITRE”这个名字更有威慑力，MITRE主要由：由国防部支持的国家安全工程中心、由美联航管理局所支持的先进航空系统开发中心、由国税局和退伍军人事业部支持的企业现代化中心、由国土安全部支持的国土安全系统工程与发展研究所、由美国法院支持的司法工程与现代化中心、由医疗保险和医疗补助服务中心所支持的CMS联盟医疗现代化中心、由国家标准技术研究所所支持的国家网络安全FFRDC。

网络安全，一直是MITRE公司的核心技术之一，其提出的CVE，CWE，网络态势感知等等都成为了网络安全领域的标杆。

如果你拥有一个其报告包含CVE标识符引用的安全工具，你就可以获得另一个兼容CVE的数据库中的修复信息。CVE还提供了一个评估工具覆盖范围的基线。

CWE，先后推出了CWSS（Common Weakness Scoring System）和CWRAF（Common Weakness Risk Analysis Framework）工程研究。CWSS主要研究的是对源代码缺陷产生危害的不同等级划分。

• 威胁分析（Threat Analysis）——理解和跟踪威胁场景和参与者，以及他们使用的战术、技术和程序(TTPs)；
• 依赖和影响分析（Dependency & Impact Analysis）——理解任务和资产之间的相互依赖关系，以识别弹性弱点和推断任务影响；
• 替代方案的分析(Analysis of Alternatives,AoA）——确定潜在的行动路线(Courses of Action,CoAs)和其他威胁缓解措施，探索有效的重构方法，并评估架构现代化的影响；
• 新兴解决方案（Emerging Solutions）——继续推进实践状态，提供新的解决方案，填补关键空白；

• MITRE的四个核心领域对应着十个主要工作。下图展示了每一个核心领域所对应的主要工作。

• 战术、技术和过程框架（ATT&CK）

ATT&CK将开发后的APT之 TTPs分为11类。ATT&CK确定了上百种不同的APT技术。它们对应着11类中的一个或多个，图3为框架所区分的11类。

• 威胁协作研究（CRITs）

• 皇冠珠宝分析（CJA）

MITRE的皇冠珠宝分析(Crown Jewels Analysis ，CJA)是一个过程和相应的工具集，用于“识别那些对完成一个组织的使命至关重要的网络资产”。一直到系统部署。依赖关系图从确定任务和分配相对优先级开始。从那里，依赖关系通过运营任务和系统功能流向网络资产。这些依赖关系定性地表示为失败或降级的子节点对父节点的影响，并提供了最小化主观性的规定。通过一个完整的模型，CJA可以根据每个父/子逻辑语句的实现来预测网络资产失效/降级的影响，跟踪潜在的影响，并将其上升到高级使命任务和目标。

•  网络指挥系统

网络指挥系统(Cyber Command System，CyCS)是MITRE验证网络态势感知工具。“CyCS”通过使任务操作映射到支持这些任务的网络操作，以实现改进网络空间任务保障的目标。该工具通过态势感知和影响分析提供任务影响评估。CyCS通过漏洞、威胁和后果管理来解决高度分布式企业系统的任务保障挑战。通过CyCS可以展示先进的网络安全能力。

• 威胁评估和补救分析

TARA使用下图中所示的三步评估方法。第一步是知识管理(KM)。KM提供用于评估每个系统体系结构的外部威胁向量和对抗信息的最新目录。下一步是在目标架构上执行网络威胁敏感性分析(CTSA)。CTSA利用CJA以及CRITs和STIX定义来识别系统架构中的漏洞。CTSA生成一个漏洞矩阵，用于最后一步——网络风险补救评估(CRRA)。CRRA将这个矩阵与KM对抗知识相结合来开发剧本。TARA playbook为评估的体系结构提供了优先级的对策和备选CoAs列表，可以根据风险、成本或进度约束进行调整。

MITRE公司在一些其他领域也与其他公司有着合作，它不是专门执着于某一个方向的公司，而是一个真正的“IT”公司，甚至可以说是超过了“IT”这个领域。

MITRE在对公共卫生进行安全监控和报告方面的研究开发了“ Sara Alert™ ”，这个工具可以帮助公共卫生部门遏制COVID-19的传播。并与UVA Health合作开发快速反应试剂盒，并基于系统工程、决策支持、数据分析、移动网络安全、获取操作和临床专业知识方面开发除了远程医疗套件。最初的套件包括温度计、脉搏血氧仪、血压袖带和听诊器等。

MITRE可以通过社交媒体上的图像来捕捉生物特征，通过从这些图像中提取指纹特征来确定他的个人信息。如果你出现在Facebook某新闻媒体的照片中，做了某个手势，你的指纹信息可能就会被MITRE收集，但出于隐私保护，他们承诺不会从Facebook上搜罗所有可用指纹，但当你可能是犯罪嫌疑人的时候，他们就会收集指纹。不得不说，这是一个很优秀的信息采集技术，但同时也可能意味着严重的隐私泄露。

通过定位并入侵智能手表、扬声器、电视和安全摄像头、家庭自动化设备或者任何可以归类为物联网系统的设备来今昔窥探。并可帮助边境官员通过“快速探测和利用安全或犯罪现场环境中的物联网设备以证明其存在”，或者用于“物理安全边界”，以黑进“通过或接近边界”的设备来监视想要非法入境的人。或者证明犯罪嫌疑人在犯罪现场。目前这项技术只在边境保护局使用过。但人权组织认为这是一种侵犯人权的行为。

在2011年最后一份研究报告摘要中研究人员说：“研究结果表明，在气味的可测量量差异确实可以取分出说谎的人和不说谎的人”，这真是细思极恐，当你和别人交流的时候，你随意的一个谎言都会被识破，仪器可能会通过你的气味来确定你是否说谎了。

MITRE计划采用对抗性方法实现AI安全，其实现需要独立的操作以确保安全，他们必须保护敏感数据的安全且要在识别风险方面保持透明；需要去了解AI攻击媒介迅速发展的格局，攻击者可能会在ML系统生命周期的何时在何种地方进行攻击。

世界正在向着移动设备的方向发展，越来越多的笔记本电脑和台式电脑转向了智能手机和平板电脑。便携的移动设备在重量、成本和适应性方面有着很大优势，而MITRE则在功能和成本之间去创造了平衡，同时保护数据和网络的尖端移动解决方案。他们为“虚拟智能手机”发布开源软件，提供更好的数据保护和安全环境，并且在其中构建安全应用程序。合作开发“奈特勇士”安卓程序，“奈特勇士”安卓包比目前的士兵装备携带着更多的通信技术。

MITRE是一家以网络安全，航空科技为核心技术的企业。它不起眼到可能你身边的每一个人都不认识，但他的所作所为却让每一个人所知晓。他们常常与政府合作，帮助美国政府做一些研发，比如嵌入式设备的窥探技术，也与军队合作，建立了美国第一个现代化防空系统；在生物科技上他们研究过微生物与宿主的关系，在医疗领域帮助人们对抗新冠病毒。其在网络安全中提出的CVE和CWE影响深远，至今仍然是主流漏洞命名方式，其在网络态势感知上也有较为系统的解决方案，其中的ATT&CK正在引领网络安全攻防对抗的创新潮流。正是这么一家以技术为核心，以人才为支柱的公司，成为了网络安全领域技术创新的领航者。