В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — Тактики, техники и общеизвестные знания о злоумышленниках) как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак.
MITRE ATT&CK — это структурированный список известных поведений злоумышленников, разделенный на тактики и методы, и выраженный в виде таблиц (матриц). Матрицы для различных ситуаций и типов злоумышленников публикуются на сайте MITRE. Также классификация доступна в машиночитаемых форматах STIX / TAXII. Поскольку этот список дает комплексное представление о поведении злоумышленников при взломе сетей, он крайне полезен для различных защитных мероприятий, мониторинга, обучения и других применений.
В частности, ATT&CK может быть полезен в киберразведке, поскольку он позволяет стандартизированно описывать поведение злоумышленников. Злоумышленники («акторы») могут отслеживаться с помощью ассоциации наблюдаемых в сети событий с методами и тактиками в ATT&CK, которые используют те или иные группировки. Специалистам по ИБ это позволяет оценивать свой уровень защищенности, анализируя способности имеющихся средств защиты выявлять или блокировать те или иные методы и тактики, что дает представление о сильных и слабых сторонах против определенных злоумышленников.
Хорошим способом визуализации сильных и слабых сторон средств защиты по отношению к определенным группам или акторам является, например, создание тепловых карт покрытия техник в Excel или с помощью MITRE ATT&CK Navigator. База знаний ATT&CK также доступна в виде фида STIX / TAXII 2.0, который позволяет легко интегрировать ее в любые инструменты, поддерживающие эту технологию.
Корпорация MITRE внесла значительный вклад в сообщество безопасности, предоставив нам ATT&CK и связанные с ней инструменты и ресурсы. Причем сделано это было в удачный момент. Поскольку злоумышленники находят способы быть более скрытными и избегают обнаружения традиционными инструментами безопасности, специалисты по ИБ вынуждены менять подходы к обнаружению и защите от атак. База знаний ATT&CK меняет наше восприятие, абстрагируясь от индикаторов низкого уровня, таких как IP-адреса и доменные имена, и заставляет нас видеть злоумышленников и нашу защиту через линзу поведения.
Однако это новое восприятие не означает, что работа защитников упростится. Безоблачные дни блэклистов и простых фильтров киберразведки почти исчезли. Стратегия обнаружения и предотвращения на основе поведения злоумышленников — это гораздо более сложный путь, чем инструменты прошлого, работающие по принципу «настроил и забыл». Кроме того, по мере появления новых способов защиты злоумышленники, безусловно, будут адаптироваться. ATT&CK позволяет описывать любые новые методы, которые будут использовать злоумышленники, и, будем надеятся, позволит нам не отставать.
База знаний ATT&CK может быть полезна в самых разнообразных ситуациях. Более подробно о практических применениях, лучших практиках и особенностях этой методологии вы можете прочитать на специализированной странице MITRE ATT&CK на сайте Anomali.
Это адаптация статьи Тревиса Фэррела, директора по стратегии безопасности компании Anomali. Оригинальная запись доступна в блоге Anomali.