MITRE
非营利研究和开发中心集合。1958 年从 MIT 林肯实验室分出来,主要给美国联邦政府运营 FFRDC(Federally Funded Research and Development Centers)。
为什么搞安全的人天天看到它
MITRE 维护了一堆全行业标准的公共资源——而且免费、开放。
| 项目 | 干什么 |
|---|---|
| CVE (Common Vulnerabilities and Exposures) | 全球漏洞唯一编号系统,CVE-2024-XXXX 那个 |
| ATT&CK | 攻击者战术-技术-流程(TTP)知识库,蓝队必读 |
| CWE (Common Weakness Enumeration) | 软件弱点分类(SQL 注入、缓冲区溢出归类) |
| CAPEC | 攻击模式分类 |
| D3FEND | 防御措施知识库,ATT&CK 的对偶 |
| Engage (前 Shield) | 主动防御 / 欺骗框架 |
ATT&CK 在工业界的地位
ATT&CK Matrix 现在是蓝队/红队/紫队的通用语言。SOC 写报告、写检测规则、做威胁建模都拿它当词汇表——“这个 APT 用了 T1059.001 PowerShell”。
学习路径:
- MITRE ATT&CK Navigator 浏览矩阵
- 看几个 APT 报告(比如 APT29 / Lazarus)
- 对照自己的检测覆盖度
MITRE vs NIST
- NIST = 制定标准(CSF、800-53、800-171)
- MITRE = 提供知识库和分类法
两者互补,常一起用。