MAEC: Il metodo standard di descrivere il comportamento del malware fornite dal MAEC consentirà uno sviluppo più rapido di contromisure basate su quelli precedentemente osservati. Uno standard adottato per la caratterizzazione di malware consentirà una maggiore consapevolezza pubblica delle minacce

MITRE è un’organizzazione NO-PROFIT del Governo statunitense che gestisce quattro centri di ricerca e sviluppo (FFRDCs): uno per il Dipartimento della Difesa (noto come il ministero della Difesa Comando, Controllo, Comunicazioni e Intelligence FFRDC), uno per la Federal Aviation Administration (il Center for Advanced Aviation System Development), uno per l'Internal Revenue Service e US Department of Veterans Affairs (Centro per la modernizzazione delle imprese), e uno per il Department of Homeland Security (l'Homeland Security Systems Engineering and Development Institute). MITRE ha intrapreso molteplici iniziative in tema di standard di comunicazione per fornire protezione alle infrastrutture critiche. Le loro iniziative passate includono la denominazione comune di vulnerabilità (CVE), un sistema di nomenclatura condiviso per il malware (CME), e la standardizzazione per la valutazione delle vulnerabilità (OVAL)
Il nuovo contributo di MITRE nel processo di standardizzazione del linguaggio per rendere più efficace l'individuazione delle minacce informatiche prende il nome di Malware Attribute Enumeration and Characterization (MAEC™) che è un linguaggio standard per la codifica e la comunicazione di informazioni sul malware basato su specifici attributi quali comportamenti, pattern d'attacco ed altro. Eliminando l'ambiguità e le imprecisioni che attualmente affliggono le descrizioni di malware, MAEC mira a ridurre la potenziale duplicazione degli sforzi per i ricercatori consentendo uno sviluppo più veloce e condiviso delle contromisure.
I metodi attualmente utilizzati per il rilevamento del malware si basano sulle firme che tuttavia non sono sempre in grado di  affrontare le minacce che si sviluppano da vulnerabilità di tipo zero-day, attacchi mirati, mlaware polimorfici e altre forme di malware emergenti. Allo stesso modo, il rilevamento euristico può essere genericamente in grado di rilevare alcuni tipi di malware, mentre non vengono intercettati quelli che non rientrano in determinatui modelli come, ad esempio, rootkit kernel-level.
I moderni metodi per individuare e combattere il malware spesso si basano sulla caratterizzazione degli attributi del malware e dei comportamenti. In genere, tali comportamenti e gli attributi vengono scoperti attraverso l'uso delle tecniche di analisi statica e dinamica. Tuttavia, queste tecniche sono ostacolati dalla mancanza di uno standard ampiamente accettato per caratterizzare in modo inequivocabile malware.

La mancanza di una norma significa che non esiste un metodo chiaro per la comunicazione dei  specifici attributi del malware rilevati dalle diverse modalità di analisi, né per la l'enumerazione.
Su questa base, è chiaro che uno standard per la descrizione di malware in termini di schemi di attacco, e le azioni sono necessarie per affrontare tali problematiche, e di consentire la comunicazione chiara delle informazioni acquisite attraverso l'analisi statica e dinamica.
MAEC risolve questi problemi attraverso la caratterizzazione dei malware utilizzando dei modelli astratti che offrono una vasta gamma di benefici come la codifica accurata di come il malware opera e le azioni specifiche che svolge. Tali informazioni non possono essere utilizzate solo per il rilevamento di malware, ma anche per valutare l'obiettivo finale cui il malware mira e la corrispondente minaccia che essa rappresenta.

Concentrandosi sugli attributi e sui comportamenti del malware risulta più agevole l'individuazione e l'analisi delle nuove, sofisticate minacce che aggirano la tradizionale rilevazione basata sulle firme e/o sugli approcci euristici. Caratterizzare un malware in modo univoco e condiviso consente una più efficace collaborazione tra le organizzazioni, identificando il comportamento comune del malware
Pertanto l'adozione di MAEC per la codifica di informazioni sui malware consente:

• l'eliminazione delle ambiguità e delle imprecisioni nella descrizione del malware;
• permette un impatto positivo su tutte le principali parti interessate, tra cui produttori e consumatori di analisi del malware e dei relativi dati, come pure gli utilizzatori finali di strumenti per la prevenzione e la mitigazione del malware;
• riduce la duplicazione degli sforzi di analisi del malware

Un metodo comune di caratterizzare il malware con uno standard per la segnalazione di analisi del malware permettere facilmente ai ricercatori ed agli analisti di determinare se una particolare istanza malware è già stata analizzata.

Ulteriori informazioni ed aggiornamenti sono disponibili alle seguente URL:http://maec.mitre.org/index.html