來源：https://www.mitre.org/sites/default/files/publications/pr-15-2592-overview-of-mitre-cyber-situational-awareness-solutions.pdf

2015年5月18日北約通信和信息局(NATO Communications and Information Agency (NCIA) Request for Information (RFI)，NCIA)信息請求(RFI) (CO-14068-MNCD2)[1]尋求一種多國網絡防御態勢感知(cyber defense situational awareness ，CDSA)能力。雖然MITRE不是一個商業工具供應商，但是我們的研究已經開發了一系列技術解決方案，這些技術解決方案將使任何CDSA工具包受益。本文檔描述了MITRE技術解決方案，可以利用它來啟用或支持整個北約CDSA解決方案。在某些情況下，技術解決方案是標準化工作，支持CDSA關鍵方面的信息共享。在其他情況下，解決方案是原型工具，可以轉換到政府實體或商業供應商。特定的NCIA RFI CDSA use案例被用于根據總體CDSA需求確定MITRE能力的方向。需要注意的是，MITRE的大部分工作都集中在主要RFI場景“Oranjeland APT”中描述的解決方案上。這些工具是根據定義良好的需求和需求進行評估和獲取的。它們使用聚合工具集成到更高級別的CDSA視圖，比如安全信息和事件管理(SIEM)以及日志管理產品或自定義開發的數據處理管道。

NCIA RFI根據CDSA解決方案滿足三個場景中35個用例的能力來定義CDSA解決方案。這些場景提供了對RFI尋求的操作和業務需求的深入了解。對CDSA需求采取更高級別(戰略和戰術)的觀點也很重要。從技術解決方案帶來的變革效益的角度考慮技術解決方案，有助于堅定地關注“大局”。操作用例和場景然后處理高層次戰略/戰術方向實例化的特定關注點。在我們對CDSA的MITRE技術解決方案(面向戰略和戰術利益)的討論中，我們指出了每個解決方案如何處理操作用例。

一套全面的CDSA功能包括四個核心領域:

1.威脅分析（Threat Analysis ——理解和跟蹤威脅場景和參與者，以及他們使用的戰術、技術和程序(TTPs)。

2.依賴和影響分析（Dependency & Impact Analysis——理解任務和資產之間的相互依賴關系，以識別彈性弱點和推斷任務影響。

3.替代方案的分析(Analysis of Alternatives,AoA)——確定潛在的行動路線(Courses of Action,CoAs)和其他威脅緩解措施，探索有效的重構方法，并評估架構現代化的影響。

4.新興解決方案（Emerging Solutions——繼續推進實踐狀態，提供新的解決方案，填補關鍵空白。

在MITRE，我們相信利用現有的COTS工具進行網絡防御態勢感知。許多優秀的產品都具有處理大多數企業工作負載的靈活性和可伸縮性。挑戰在于根據特定的部署環境調整每個產品以獲得最大的實用價值。雖然有許多成功的案例和事例來為我們自己(保護MITRE)和我們的贊助商利用COTS產品，但是MITRE在這一網絡安全領域的大部分研究和開發集中在剩下的三種CDSA能力上:威脅分析、依賴關系和影響分析，以及替代方案的分析。總的來說，有十個MITRE的努力可以為北約/NCIA CDSA提供直接的好處。七個工作直接支持三個CDSA功能中的一個，另外三個是實驗性CDSA工作，它們采用不同的方法來解決CDSA問題。表1和圖2提供了這十個MITRE工作的概述。本文件的其余部分側重于描述每項努力及其對北約CDSA的好處。描述包括工作的概述以及任何相關的屏幕截圖或圖表。

一、令人激動的例子

以下示例基于北約CDSA RFI[1]中定義的主要場景:國家Appelestan得到北約領導的RATM聯盟的支持，同時他們在獨裁者下臺后重建一個穩定的政府。敵對國家Oranjeland有興趣了解RATM聯盟使用的技術和情報能力。Oranjeland的目的是利用隱蔽的技術來滲透網絡和竊取信息，以避免被發現。

為了提供使用的環境，我們提供了一個激動人心的示例，將主要CDSA RFI用例中使用的MITRE功能聯系在一起(具體功能和附加功能已用斜體突出顯示):

RATM網絡操作中心(NOC)的網絡管理員使用新收到的關于新對手行動TTP的CRITs指標。這些致命一擊威脅指標是使用STIX和TAXII威脅共享標準從幾個北約成員國的國家石油公司收到的。通過交叉引用那些指示——ATT&CK自定義應用層協議命令和控制技術的指示器，他注意到反病毒程序沒有檢測到的異常網絡活動出現在北區域司令部(RC-N)的服務器上，這表明高級持久威脅(APT)的存在。

他聯系了北約網絡安全行動(CSOps)，后者創建了一張事故票據。CSOps使用CyGraph進行一系列的初始調查，并將其識別為一個集成的命令和控制系統(ICC)服務器。CJA 指出，這是許多區域特派團所需要的關鍵資產。他們將所有相關信息和選項整理成一份報告，然后與綜合危機和運營管理中心(CCOMC) Cybercell (CCC)取得聯系。他們使用TARA來執行AOA和FACT來將建議置于整個任務環境中，建議斷開ICC服務器以中斷APT的行動路線。CCC使用CYCS來確定計劃中的任務將受到此緩解的影響。然后，CCC使用AMICA評估斷開服務器的更廣泛影響，例如，計劃停機與任務需求，可用的網絡防御資源，APT的潛在任務影響(如數據泄漏)。

圖3演示了此示例的信息流和相關的MITRE解決方案。

STIXTM (Structured Threat Information eXpression, STIX)是一種針對網絡威脅信息的標準化語言。STIX[2]提供“富有表現力、靈活、可擴展、可自動化和可讀的網絡威脅信息的結構化表示”。STIX支持跨組織、社區和產品/服務邊界共享全面、豐富、“高保真”的網絡威脅信息。

STIX擴展了簡單的指標共享，使更有表現力的指標集以及其他全頻譜網絡威脅信息的管理和交換成為可能。

雖然有一個標準化的威脅語言是有益的，但真正的價值是通過威脅共享實現的。TAXIITM(可信的自動指標信息交換)定義了一種用于共享STIX威脅指標的自動信息交換服務。TAXII[3]允許“跨組織和產品/服務邊界共享可操作的網絡威脅信息”。TAXII定義用于交換網絡威脅信息的服務、協議和消息，以檢測、預防和緩解網絡威脅……TAXII增強了組織對新出現的威脅的態勢感知能力，使組織能夠輕松地與他們選擇的合作伙伴共享他們選擇的信息，同時使用單一的公共工具集。”

準確和最新的威脅情報信息對于識別威脅以及分析系統架構的潛在弱點至關重要。CDSA解決方案應該將收集的實時態勢感知、系統和任務模型以及威脅分析聯系起來。STIX實際上是交換威脅指標的標準化表示，支持CDSA補充工具的使用(CDSA RFI用例UC09)。TAXII支持STIX指標的簡單、跨域共享和聚合，允許CDSA通過從所有可訪問的TAXII端點提取威脅數據來支持RFI用例UC35。STIX已經在幾個商業產品中實現，并被美國國防部(DoD)的許多客戶使用，以及MITRE的許多態勢感知和網絡防御努力。根據美國總統奧巴馬2015年2月的一項行政命令，TAXII將被用來連接美國政府網絡運營中心，以促進網絡安全信息共享[4]。STIX和TAXII采納者的部分列表可以在http://stixproject.github.io/supporters/#products-and-services找到。

MITRE和STIX/TAXII在最近的網絡訓練演習中扮演了關鍵角色，該演習被稱為cyber Yankee (http://www.thenationsfirst.org/cyber-training-unit es-new-england.html)。這次活動匯集了來自新英格蘭地區(6個州)的美國陸軍國民警衛隊網絡防御小組，并得到許多聯邦政府機構的支持，包括國土安全部、聯邦緊急事務管理署、聯邦調查局和美國特勤局。在這些演習中，MITRE幫助規劃場景并訓練團隊利用STIX/TAXII獲取威脅信息。這種結構化的語言為情報分析員組織和協調他們對不斷演變的威脅的理解提供了一個共同的框架。MITRE隊的一名成員因他在這些演習中，特別是在STIX/TAXII訓練中所起的作用而獲得一枚紀念幣。

“我多年來一直在國家和地區層面參與網絡演習，”曾任“網絡揚基”主任和美國國防部國家演習規劃小組成員的新罕布什爾陸軍國民警衛隊伍迪·格羅頓中校說。“我從來沒有見過情報在鍛煉中得到更好的整合。這是所有其他國家效仿和發展的榜樣。”

截至2015年7月，MITRE已將STIX和TAXII工作的監管權移交給網絡威脅情報(CTI)技術委員會[5]下的結構化信息標準推進組織(OASIS)。OASIS是一個國際公認的標準化組織，它將允許更廣泛地訪問STIX和TAXII。

二、對抗戰術、技術和常識(ATT &CK?)

對抗戰術、技術和常識(Adversarial Tactics, Techniques, and Common Knowledge，ATT&CK?)[6]是一個MITRE開發的框架，用于建模和分類高級持久威脅(APT)的利用后動作。ATT&CK模型可用于更好地描述訪問后的敵對行為。它既擴展了網絡防御者的知識，又通過詳細描述初始后訪問(后利用和植入)戰術、技術和過程(TTP)高級持久威脅(APT)來幫助確定網絡防御的優先級。

最新版本的ATT&CK將開發后的APT TTPs分為9類。ATT&CK確定了95種不同的APT技術，它們與9個類別中的一個或多個相關。圖4提供了這些映射的概述。最新的ATT&CK版本可以在https://attack.mitre.org找到。

ATT&CK提供了一個與北約CDSA RFI用例UC25一致的元標準，使操作員能夠對威脅指標進行分類和跟蹤，并根據潛在的行動路線(CoAs)對其進行映射。最明顯的方法是通過適當的ATT&CK技術和類別識別來補充STIX指標信息。通過將關聯的ATT&CK信息存儲在CDSA中，網絡防御者可以對實時信息進行更廣泛的分析。例如，他們可以搜索ATT&CK橫向移動技術的所有實例<https: attack.mitre.org="" wiki="" lateral_movement=""> ，而不是嘗試查詢所有的at.exe和psexec。這不僅對監控和檢測APT后利用活動的序列很有用，而且對支持AoA和識別防御來對抗整個APT行為類別也很有用。

ATT&CK在過去的幾年里不斷改進，以支持MITRE的內部研究和美國國防部的各種贊助項目。雖然還沒有完成，但它已經被證明是一個非常寶貴的威脅分類框架，用于識別傳感器和檢測漏洞，以及開發AoA彈性方法和對策。

三、威脅協作研究(CRITs)

威脅協作研究(Collaborative Research Into Threats，CRITs)是一個可擴展的協作防御惡意軟件和威脅數據的平臺。CRITs結合了多種自由開源軟件(FOSS)解決方案，為從事威脅防御的分析師和安全專家創建了一個統一的工具。自2010年以來，它一直處于開發階段，目標只有一個:為安全社區提供一個靈活、開放的平臺，用于分析和協作威脅數據。通過使CRITs免費和開源，(CRITs)可以為世界各地的組織提供快速適應不斷變化的威脅環境的能力。”

CRITs框架是一個開源項目，網址是:http://crits.github.io/

一旦CRITs被安裝和配置，它可以被手動填充或者與其他共享威脅的伙伴連接。首選的輸入和協作格式是通過使用CRITs TAXII服務來共享STIX格式的威脅指示器。這些指標可以根據相關的ATT&CK技術進一步分類。圖5顯示了一個未填充的CRITs儀表板，它允許操作員快速識別最近流行的惡意軟件、后門、指示器和APT活動。

CRITs支持北約CDSA RFI用例UC25(監視特定威脅)和UC29(根據資產查看歷史事件)，通過提供一個單一接口，CDSA可以通過該接口獲取威脅情報倉庫。這些數據包括威脅行動者、行動指示器、APT工具、惡意軟件和其他APT TTP情報，CDSA可以利用這些信息來補充傳統的漏洞分析和對備選方案(AoA)優先級的影響分析。CRITs支持STIX和TAXII開箱即用，并且可以很容易地擴展為使用ATT&CK技術和類別屬性標記威脅信息。

CRITs是由MITRE的內部信息安全團隊開發的，用于解決威脅情報跟蹤的需求。自那以來，它已被多家美國贊助商用于其網絡運營團隊。核心CRITs平臺作為自由/開源軟件提供給更大的網絡情報界，并被多個研究人員和組織評估和使用。

四、皇冠珠寶分析(CJA)

MITRE的王冠寶石分析(Crown Jewels Analysis ，CJA)[8]是一個過程和相應的工具集，用于“識別那些對完成一個組織的使命至關重要的網絡資產”。

CJA創建一個依賴關系圖(圖6)來幫助理解什么是最重要的——從系統開發開始，一直到系統部署。依賴關系圖從確定任務和分配相對優先級開始。從那里，依賴關系通過運營任務和系統功能流向網絡資產。這些依賴關系定性地表示為失敗或降級的子節點對父節點的影響，并提供了最小化主觀性的規定。通過一個完整的模型，CJA可以根據每個父/子邏輯語句的實現來預測網絡資產失效/降級的影響，跟蹤潛在的影響，并將其上升到高級使命任務和目標。

CJA支持北約CDSA RFI用例UC01、UC03、UC06和UC19，用于網絡資產的識別、導航和聚合。CDSA需要某種依賴地圖來關聯任務、數據流和網絡資產。CJA提供了這樣一個模型以及基于高階關聯(如任務或操作優先級)的“卷起”網絡資產臨界性的方法。CJA模型也可以倒置(圖7)，允許CDSA識別事件的潛在任務影響，并對分析進行優先排序。其他信息，比如TARA提供的信息，可以用來補充這些信息，包括威脅優先級和緩解可用性。

CyCS和TARA都利用了CJA方法。CJA被美國國防部用于采購計劃，以滿足保護作戰能力時關鍵任務功能的要求。它還被應用于戰場武器系統，以及桌面(假設)系統，演示了靈活的方法如何應用于不同的系統生命周期階段。CJA也被用于基礎設施和SCADA系統分析，就像它的前身RiskMAP[9]一樣。總的來說，CJA已經應用于10個不同的系統，包括一個外國(非美國)軍事客戶。

五、網絡指揮系統

網絡指揮系統(Cyber Command System，CyCS)[10]是MITRE的概念驗證網絡態勢感知工具。“CyCS”通過使任務操作映射到支持這些任務的網絡操作，以實現改進網絡空間任務保障的目標。該工具通過態勢感知和影響分析提供任務影響評估。CyCS通過漏洞、威脅和后果管理來解決高度分布式企業系統的任務保障挑戰。

CyCS在其設計中遵循著名的觀察-定向-決策-行動(OODA)循環。它的監視子系統觀察網絡環境，包括信息源、集合管理、信息產品存儲/檢索、圖形顯示和報告等模塊。分析子系統通過模塊引導作戰人員進行警報、自動化和特別分析，以及態勢“案例”管理。決策支持子系統幫助作戰人員做出明智的決策，包括用于指導、授權、計劃和訂單管理的模塊。任務子系統通過資源準備和分配、任務隊列管理和路由以及執行監視模塊幫助操作員采取行動。

雖然CyCS的概念證明并不是一個完整的CDSA解決方案，但它確實滿足了大部分高水平的北約CDSA RFI用例，包括UC01、UC03-UC07、UC09-UC12、UC23、UC24、UC26和UC27。CyCS為資產和任務相關性提供了主要的總體視圖。假設資產位于地理位置，CyCS可以與地理空間工具(如谷歌Earth)互操作，根據其地理位置查看事件和資產。由于CyCS最初是作為一個模塊化的知識管理解決方案開發的，所以它可以作為一個單獨的權威數據源(UC10)，可以方便地導入新的數據源，與補充工具交互(UC09)，或者創建新的可視化(UC26)。可以通過將CyCS與TARA集成來滿足額外的用例，從而為AoA (UC08)提供在CyGraph中所見的特定威脅(UC25)上下文中進行分析的CRITs。

MITRE有多個正在進行的活動，通過CyCS展示先進的網絡安全能力。這包括與各個級別的作戰人員的交戰，如國家級司令部、美國作戰司令部、個別機構和各種武裝部隊內部。

六、威脅評估及補救分析(TARA)

威脅評估和補救分析(Threat Assessment and Remediation Analysis，TARA)解決方案定義了一種用于評估網絡體系結構以識別網絡漏洞和評估對抗有效性的方法。TARA評估方法[12]被描述為“聯合貿易研究，其中第一個貿易根據評估的風險確定和排列攻擊向量，第二個貿易根據評估的效用和成本確定和選擇對策。(TARA)方法的所有方面包括使用目錄存儲的緩解映射，為給定攻擊矢量范圍預先選擇合理的對策，以及使用基于風險承受能力水平規定對策應用的對策選擇策略。”

TARA使用圖9中所示的三步評估方法。第一步是知識管理(KM)。KM提供用于評估每個系統體系結構的外部威脅向量和對抗信息的最新目錄。下一步是在目標架構上執行網絡威脅敏感性分析(CTSA)。CTSA利用CJA以及CRITs和STIX定義來識別系統架構中的漏洞。CTSA生成一個漏洞矩陣，用于最后一步——網絡風險補救評估(CRRA)。CRRA將這個矩陣與KM對抗知識相結合來開發劇本。TARA playbook為評估的體系結構提供了優先級的對策和備選CoAs列表，可以根據風險、成本或進度約束進行調整。

TARA滿足北約CDSA RFI用例UC08和UC27，通過生成和選擇優先的CoA選項，為CDSA提供可選分析(AoA)。這為CDSA操作員提供了改進的決策支持，方法是考慮威脅向量和已知對策或CoAs等細節。生成的TARA備選方案劇本提供了額外的靈活性，允許用戶根據外部標準(如可用資源或時間敏感操作或后勤復雜性的時間表約束)調整備選方案。然而，TARA AoA的結果只取決于它提供的知識。由于這個限制，TARA使得使用STIX或CRITs填充攻擊向量信息變得很容易，并且可以利用CJA和CyCS來建立系統和任務依賴模型。

MITRE已經用TARA評估了幾十個美國國防部的項目。雖然配套的TARA工具和目錄沒有公開，但[12]中描述的底層方法仍然可以作為北約CDSA的一部分實現。

七、新興CDSA解決方案

網絡威脅聯邦分析(事實)

聯邦網絡威脅分析(FACT)[15]是麻省理工學院資助的一項研究工作，旨在建立一個針對架構評估和事件響應平臺的CDSA。傳統的CDSA能力，包括為北約CDSA RFI[1]指定的能力，側重于網絡防御者的實時或接近實時的態勢感知，而FACT被設計用于支持系統工程、恢復和重新架構流程，這些流程是事件響應或獲取所需的。

FACT將其他MITRE工作(包括CRITs、TARA和CyCS)的功能組合到一個事后分析和事件響應平臺中(圖10)。網絡威脅情報來源包括威脅指標，威脅行動者，和行動入侵集出口從CRITs使用STIX。這些信息與CyCS的系統和任務模型相結合來開發一個TARA劇本。本劇本包含了對潛在事件響應的可選行動路線(CoAs)的選擇。

雖然FACT針對的是與北約RFI CDSA不同的一組用例，但北約仍然可以利用FACT及其概念來支持CDSA RFI用例UC08和UC27。FACT可以直接集成為事件響應管理器，也可以用來構建實時的AoA能力和對策評估平臺。此外，事實證明，支持CDSA所需的數據對于支持事件響應或獲取所需的工程、恢復和重新架構流程也很有用。

八、CyGraph:用于網絡攻擊映射的大數據分析

CyGraph是一項新興的MITRE工作，專注于實時網絡態勢感知，將孤立的數據和事件整合到一個持續的整體圖景中，以支持決策和態勢感知。CyGraph[13]是一個用于“網絡戰分析、可視化和知識管理……它幫助在關鍵任務資產的上下文中單獨或聯合對暴露的漏洞進行優先排序”的工具。面對實際的攻擊，CyGraph為關聯入侵警報并將其與已知的漏洞路徑進行匹配提供了上下文環境，并為響應攻擊提供了最佳的行動方案。對于攻擊后的取證，[CyGraph]提出了可能需要更深入檢查的脆弱路徑。”

CyGraph構建了一個攻擊圖模型，該模型映射了通過網絡的潛在攻擊路徑。這包括可能有助于攻擊成功的任何網絡屬性，如網絡拓撲、防火墻規則、主機配置和漏洞。動態演化的攻擊圖提供了適當響應攻擊和保護關鍵任務資產的上下文。CyGraph然后接收網絡事件，如入侵檢測警報和其他傳感器輸出，包括包捕獲。它還合并任務相關性，顯示任務目標、任務和信息如何依賴于網絡資產。

總的來說，CyGraph是最類似于北約CDSA RFI的MITRE能力。由于CyGraph建立在其他工作的基礎上，包括CyCS和CJA, CyGraph能夠通過實時傳感器和攻擊路徑分析來補充它們的任務依賴能力，為CDSA RFI用例UC13 (Monitor network)和UC15 (Fuse data)提供支持。CyGraph還為UC04、UC11、UC12和UC26提供了一些可視化和視圖選項。

九、網絡行動任務影響分析(AMICA)

分析網絡行動的任務影響(AMICA)為理解網絡攻擊的任務影響提供了一種新興的輕量級CDSA能力。AMICA結合了過程建模、離散事件模擬、基于圖形的依賴性建模和動態可視化。這是兩種研究方向的新匯合:過程建模/仿真和自動攻擊圖生成。

AMICA捕獲用于建模使命任務以及網絡攻擊者和防御者TTPs的過程流。脆弱性依賴圖映射了網絡攻擊路徑，任務依賴圖定義了映射到網絡資產的從高到低的任務需求層次。通過仿真得到的集成模型，AMICA根據基于任務的度量對各種任務和威脅場景的影響進行了量化。仿真的動態可視化(通過CyGraph)提供了對網絡戰動態的更深入的理解，以便在模擬沖突的上下文中實現態勢感知。

戰爭需要把來自不同來源的不同層次的信息匯集在一起。在底層，網絡拓撲結構、防火墻策略、入侵檢測系統、系統配置、漏洞等都起到了一定的作用。AMICA將這些組合成一個更高級別的攻擊圖模型，該模型顯示了漏洞的傳遞路徑。它還將網絡資產映射到任務需求(通過CyCS)，并捕獲從低級需求到適合決策制定的高級需求的依賴關系。因為任務需求是高度動態的，所以AMICA捕獲任務流的時間依賴模型。網絡攻擊和防御同樣是動態的，也被捕獲在模擬網絡活動任務影響的AMICA流程模型中。

在北約CDSA RFI用例的上下文中，AMICA繼承了CyGraph的所有能力，并額外滿足了UC21的培訓和模擬要求。AMICA流程模型可用于模擬威脅場景，允許操作員評估潛在的任務影響和AoA有效性。操作員可以模擬各種CoA對策的效果，調整時間和成功率等變量，以選擇更適合給定環境或場景的對策。

雖然一個新興的能力，AMICA已經通過一個案例研究表明與國防部操作員在現實世界的動力學任務。AMICA被用來建模、模擬和量化網絡攻擊對目標任務的影響，針對目標開發過程的不同階段使用不同的攻擊場景。

總結

MITRE擁有深厚的系統工程經驗和廣泛的技術解決方案，這將有利于任何先進的網絡態勢感知工具包。在戰術和戰略層面，這些解決方案包括威脅情報，以了解和跟蹤威脅情景和威脅行動者TTPs;分析任務組件和網絡資產之間的依賴關系和網絡威脅的潛在任務影響;分析威脅緩解、響應/重構方法和體系結構現代化的備選方案。在MITRE也有廣泛的正在進行的研究，正如我們對CDSA關鍵問題的新解決方案所展示的那樣。對于更多的操作用例，MITRE在利用COTS工具并將它們與我們的戰術/戰略解決方案結合方面取得了很大的成功。