MITRE公布嵌入式系統安全框架

非營利資安研究機構MITRE本周發布嵌入式系統威脅矩陣（Embedded Systems Threat Matrix），提供嵌入式設備專用的ATT&CK攻擊框架，協助資安人員確保工業設備、機器人和電信設備等國家關鍵基礎設施的安全。

MITRE以維護CVE漏洞資料庫和開發MITRE ATT&CK攻擊框架聞名，該框架是全球標準的網路威脅情報知識庫，用於分類、理解和對抗進階持續性威脅（APT）。

名為Embedded Systems Threat Matrix（ESTM）的框架是MITRE連同美國空軍網路韌性武器系統辦公室（Cyber Resiliency Office for Weapon Systems，CROWS）共同發展。本框架旨在提供研究人員、資安專家和廠商辨識嵌入式系統漏洞及打造強大系統的實用工具，可用在運輸、能源、健康、工業控制和機器人等領域。

ESTM其實結構是借鑒於MITRE ATT&CK框架，並以MITRE概念驗證和理論研究為基礎開發，整合專門針對嵌入式系統的攻擊戰術和手法，可供研究人員、資安從業人員進行威脅建模、評估，分析風險、並與現有資安方法如MITRE ATT&CK、威脅情報格式整合。它也包含新興威脅和漏洞，協助防患未然。

ESTM官方網站指出，ESTM最早於去年9月公布，現在為ESTM 3.0。ESTM已提供STIX 2.1（Structured Threat Information eXpression）格式版本，可以給機器讀取。

ESTM現已涵蓋約218個技術/13個戰術（並標註哪些被棄用），能讓工具、分析師或模型匯入現有安全方案。威脅矩陣頁也提供下載STIX 2.1 json檔。

ESTM可和MITRE EMB3D威脅模型結合共用，形成完整的安全系統設計資源。MITRE同時鼓勵資安專家貢獻知識改進ESTM。