Что такое MITRE ATT&CK и как ее использовать

В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — Тактики, техники и общеизвестные знания о злоумышленниках) как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак. ATT&CK представляет собой структурированный список известных поведений злоумышленников, скомпилированый в тактики и методы, и выраженный в виде таблиц, а также доступный в формате STIX / TAXII. Поскольку этот список представляет собой довольно полное представление о поведении злоумышленников при компрометации сетей, он полезен для различных наступательных и защитных измерений, представлений и других механизмов.

В частности, ATT&CK может быть полезен в киберразведке, поскольку он позволяет стандартизированно описывать поведение злоумышленников. Акторы могут отслеживаться с помощью ассоциаций с методами и тактиками в ​​ATT&CK, используемыми ими. Специалистам по ИБ это позволяет анализировать защищенность в соответствии с имеющимися СЗИ, оценивая свои сильные и слабые стороны против определенных злоумышленников. Хорошим способом визуализации сильных и слабых сторон среды по отношению к определенным группам или акторам является, например, создание записей MITRE ATT&CK Navigator.  База знаний ATT&CK также доступна в виде фида STIX / TAXII 2.0, который позволяет легко интегрировать ее в любые инструменты, поддерживающие эту технологию.

Корпорация MITRE внесла значительный вклад в сообщество безопасности, предоставив нам ATT&CK и связанные с ней инструменты и ресурсы. Причем сделано это было в удачный момент. Поскольку злоумышленники находят способы быть более скрытными и избегают обнаружения традиционными инструментами безопасности, специалисты по ИБ вынуждены менять подходы к обнаружению и защите от атак. База знаний ATT&CK меняет наше восприятие, абстрагируясь от индикаторов низкого уровня, таких как IP-адреса и доменные имена, и заставляет нас видеть злоумышленников и нашу защиту через линзу поведения. Однако это новое восприятие не означает, что работа защитников упростится. Безоблачные дни списков блокировки и простые фильтры киберразведки почти исчезли. Дорога обнаружения и предотвращения на основе поведения — это гораздо более сложный путь, чем инструменты прошлого, работающие по принципу «настроил и забыл». Кроме того, по мере появления новых способов защиты злоумышленники, безусловно, будут адаптироваться. ATT&CK позволяет описывать любые новые методы, которые будут использовать злоумышленники, и, будем надеятся, позволит нам не отставать.

База знаний ATT&CK может быть полезна в самых разнообразных ситуациях. Более подробно о практических применениях, лучших практиках и особенностях этой методологии вы можете прочитать на специализированной странице MITRE ATT&CK на сайте Anomali.

Это перевод статьи Тревиса Фэррела, директора по стратегии безопасности компании Anomali. Оригинальная запись доступна в блоге Anomali.

About the author

Тайгер Оптикс является специализированным дистрибьютором решений по кибер-безопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://tiger-optics.ru.