前言
MITRE Corporation 是一個美國非營利組織,長期致力於公共利益,為全球資安社群提供了眾多重要的框架、標準與知識庫。對於資安新手而言,了解 MITRE 的各項資源是進入資安領域的重要基礎。
本文將系統性地介紹 MITRE 提供的各項資安資源,幫助您快速掌握這些工具的用途與應用場景。
一、威脅與攻擊相關資源
1. MITRE ATT&CK®
- 網址:https://attack.mitre.org
- 用途:全球最廣泛使用的攻擊者戰術與技術知識庫
- 說明:ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)基於真實世界觀察,記錄攻擊者如何與系統互動的行為模式。涵蓋企業、行動裝置、ICS 等多個領域。
- 適合對象:威脅分析師、SOC 人員、紅隊/藍隊
2. CAPEC(Common Attack Pattern Enumeration and Classification)
- 網址:https://capec.mitre.org
- 用途:攻擊模式列舉與分類
- 說明:提供識別與理解攻擊的社群資源,描述攻擊者利用弱點的常見方法。
- 適合對象:安全架構師、開發人員、威脅建模人員
3. MITRE ATLAS™
- 網址:https://atlas.mitre.org
- 用途:AI/ML 系統的威脅知識庫
- 說明:針對人工智慧與機器學習系統的攻擊戰術與技術框架。
- 適合對象:AI 安全研究員、ML 工程師
4. MITRE FiGHT™
- 網址:https://fight.mitre.org
- 用途:5G 網路威脅框架
- 說明:專注於 5G 網路環境的攻擊技術與子技術。
- 適合對象:電信安全人員、5G 研究人員
5. MITRE EMB3D™
- 網址:https://emb3d.mitre.org
- 用途:嵌入式設備威脅知識庫
- 說明:針對嵌入式設備的網路威脅與緩解措施。
- 適合對象:IoT 安全人員、嵌入式系統開發者
二、漏洞與弱點相關資源
6. CVE®(Common Vulnerabilities and Exposures)
- 網址:https://cve.mitre.org
- 用途:公開揭露的資安漏洞識別碼
- 說明:為每個已知漏洞提供唯一識別碼(如 CVE-2024-3094),是全球漏洞管理的標準參考。
- 適合對象:所有資安從業人員
7. CWE(Common Weakness Enumeration)
- 網址:https://cwe.mitre.org
- 用途:軟體與硬體弱點分類
- 說明:社群開發的弱點類型清單,描述可能導致漏洞的軟硬體缺陷。每年發布「CWE Top 25」最危險弱點排名。
- 適合對象:開發人員、安全審計人員、SAST 工具開發者
8. CWSS(Common Weakness Scoring System)
- 網址:https://cwe.mitre.org/cwss
- 用途:弱點評分系統
- 說明:提供一致、靈活、開放的方式來評估軟體弱點優先順序。
- 適合對象:風險管理人員、安全分析師
三、防禦與緩解相關資源
9. MITRE D3FEND™
- 網址:https://d3fend.mitre.org
- 用途:網路安全對策知識圖譜
- 說明:與 ATT&CK 互補,提供防禦技術的系統性分類與說明。
- 適合對象:藍隊人員、安全架構師
10. MITRE Engage™
- 網址:https://engage.mitre.org
- 用途:對抗性交戰框架
- 說明:幫助組織規劃與執行主動防禦與欺敵戰術。
- 適合對象:威脅獵人、進階防禦團隊
11. CAR(Cyber Analytics Repository)
- 網址:https://car.mitre.org
- 用途:偵測分析規則庫
- 說明:提供與 ATT&CK 技術對應的偵測分析方法。
- 適合對象:SOC 分析師、SIEM 管理員
四、工具與平台
12. MITRE Caldera
- 網址:https://caldera.mitre.org
- 用途:自動化對手模擬平台
- 說明:幫助資安團隊減少例行測試所需的時間與資源。
- 適合對象:紅隊、滲透測試人員
13. ATT&CK® Evaluations
- 網址:https://attackevals.mitre.org
- 用途:安全產品評估
- 說明:對安全產品進行基於 ATT&CK 框架的客觀評估。
- 適合對象:安全產品採購決策者
五、標準化與互通性資源
14. STIX(Structured Threat Information Expression)
- 網址:https://stix.mitre.org
- 用途:威脅情資結構化語言
- 說明:用於描述與交換網路威脅情報的標準化語言。
- 適合對象:威脅情資分析師、ISAC 成員
15. OVAL(Open Vulnerability and Assessment Language)
- 網址:https://oval.mitre.org
- 用途:漏洞與配置評估語言
- 說明:用於判斷電腦系統漏洞與配置問題的標準語言。
- 適合對象:合規稽核人員、弱點掃描工具開發者
16. CPE(Common Platform Enumeration)
- 網址:https://cpe.mitre.org
- 用途:IT 產品命名標準
- 說明:為 IT 產品和平台提供標準化的機器可讀命名格式。
- 適合對象:資產管理人員、漏洞管理人員
17. CCE(Common Configuration Enumeration)
- 網址:https://cce.mitre.org
- 用途:系統配置識別碼
- 說明:為系統配置問題提供唯一識別碼。
- 適合對象:系統管理員、合規人員
18. MAEC(Malware Attribute Enumeration and Characterization)
- 網址:https://maec.mitre.org
- 用途:惡意程式特徵描述
- 說明:用於描述惡意程式屬性與行為的標準化語言。
- 適合對象:惡意程式分析師
六、專門領域資源
19. Center for Threat-Informed Defense
- 網址:https://ctid.mitre.org
- 用途:威脅導向防禦研究中心
- 說明:非營利研發組織,推進威脅導向防禦的技術與實務。
- 適合對象:資安研究人員、企業安全團隊
20. System of Trust™(SoT)
- 網址:https://sot.mitre.org
- 用途:供應鏈安全評估
- 說明:評估供應鏈、合作夥伴與系統可信度的框架。
- 適合對象:供應鏈風險管理人員、採購決策者
21. Insider Threat Research
- 網址:https://insiderthreat.mitre.org
- 用途:內部威脅研究
- 說明:以人為中心的內部威脅偵測與防護研究,包含 Inside-R Protect® 框架。
- 適合對象:人資安全、內部稽核、企業安全
七、學習資源與活動
22. eCTF(Embedded Capture the Flag)
- 網址:https://ectf.mitre.org
- 用途:嵌入式安全競賽
- 說明:由 MITRE 主辦的嵌入式安全設計競賽。
- 適合對象:學生、嵌入式系統學習者
23. Synthea
- 網址:https://synthea.mitre.org
- 用途:合成醫療資料產生器
- 說明:產生合成病患資料,用於醫療資訊系統開發與測試。
- 適合對象:醫療資訊安全人員、健康資料研究者
資源對照表
| 資源名稱 | 用途簡述 | 網址 |
|---|---|---|
| ATT&CK | 攻擊技術知識庫 | attack.mitre.org |
| CVE | 漏洞識別碼 | cve.mitre.org |
| CWE | 弱點分類 | cwe.mitre.org |
| CAPEC | 攻擊模式 | capec.mitre.org |
| D3FEND | 防禦技術 | d3fend.mitre.org |
| ATLAS | AI 安全威脅 | atlas.mitre.org |
| Caldera | 對手模擬 | caldera.mitre.org |
| Engage | 主動防禦 | engage.mitre.org |
| CAR | 偵測分析 | car.mitre.org |
| STIX | 威脅情資格式 | stix.mitre.org |
新手學習建議路徑
- 入門階段:先了解 CVE(漏洞)與 CWE(弱點)的差異
- 進階階段:學習 ATT&CK 框架,理解攻擊者視角
- 防禦階段:結合 D3FEND 與 CAR,建立偵測能力
- 專業階段:依據職涯方向深入 ATLAS、FiGHT 等專門領域
結語
MITRE 的資源體系是全球資安社群的共同財富。無論您是剛入門的新手,還是經驗豐富的專家,這些框架與工具都能為您的工作提供重要支持。建議將常用資源加入書籤,並持續關注更新動態。
