MITRE ATT&CK: Полное руководство по пониманию поведения злоумышленников

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это глобально доступная база знаний о тактиках и техниках злоумышленников, основанная на реальных наблюдениях. Она служит основой для разработки моделей угроз в частном секторе, государственных структурах и сообществе кибербезопасности. Фреймворк был создан корпорацией MITRE и стал стандартом де-факто для понимания и категоризации поведения киберпреступников. В отличие от других фреймворков, ориентированных на уязвимости или соответствие требованиям, ATT&CK фокусируется на том, как на самом деле действуют злоумышленники. Ключевые характеристики: • Основан на реальных данных об угрозах • Постоянно обновляется новыми техниками • Платформо-специфичные матрицы (Enterprise, Mobile, ICS) • Детальные примеры процедур от известных групп угроз • Маппинг на стратегии обнаружения и смягчения

Матрица ATT&CK организована в иерархию, помогающую командам безопасности понять полный спектр операций злоумышленников: Тактики ("Зачем") Тактики представляют тактические цели злоумышленника. В матрице Enterprise 14 тактик: • Разведка (Reconnaissance) • Развитие ресурсов (Resource Development) • Первоначальный доступ (Initial Access) • Выполнение (Execution) • Закрепление (Persistence) • Повышение привилегий (Privilege Escalation) • Обход защиты (Defense Evasion) • Доступ к учётным данным (Credential Access) • Обнаружение (Discovery) • Латеральное перемещение (Lateral Movement) • Сбор данных (Collection) • Командование и управление (Command and Control) • Эксфильтрация (Exfiltration) • Воздействие (Impact) Техники ("Как") Техники описывают, как злоумышленники достигают тактических целей. Всего более 200 техник. Суб-техники Суб-техники предоставляют более конкретные описания поведения злоумышленников. Процедуры Процедуры — это конкретные реализации техник группами угроз.

1. Анализ угроз Сопоставляйте отчёты об угрозах с техниками ATT&CK: • Какие группы угроз нацелены на вашу отрасль • Какие техники они обычно используют • Как приоритизировать защиту 2. Разработка детекций Создавайте правила обнаружения вокруг техник ATT&CK: • Создавайте алерты для конкретных индикаторов техник • Разрабатывайте карты покрытия детекциями • Выявляйте пробелы в вашем стеке безопасности 3. Оценка безопасности Используйте ATT&CK для red team и пентестов: • Структурируйте симуляции атак вокруг реальных техник • Измеряйте защитное покрытие против известных TTPs • Валидируйте возможности обнаружения и реагирования 4. Операции безопасности Улучшайте работу SOC с ATT&CK: • Обогащайте алерты контекстом ATT&CK • Создавайте плейбуки расследования по техникам • Отслеживайте продвижение злоумышленника по kill chain

TEPTEZ использует фреймворк MITRE ATT&CK во всей платформе сканирования безопасности: Маппинг уязвимостей Каждая обнаруженная TEPTEZ уязвимость сопоставляется с релевантными техниками ATT&CK: • Как злоумышленники могут эксплуатировать уязвимость • Какие тактики становятся возможными • Связанные техники в цепочках атак Приоритизированное устранение Мы используем контекст ATT&CK для приоритизации: • Уязвимости, включающие критические тактики, помечаются как высокоприоритетные • Данные о распространённости техник помогают фокусировать усилия • Анализ цепочек атак показывает пути эскалации Рекомендации по обнаружению TEPTEZ предоставляет руководство по обнаружению на основе ATT&CK: • Предлагаемые правила детекции для каждой находки • Требования к источникам данных • Интеграция с SIEM и EDR платформами