FAQ MITRE ATT&CK оказался крайне нераспространенным документом, при всей его познавательной ценности как в перспективе, так и для текущей деятельности сообщества. Поэтому мы решили его перевести. Результат под катом.

Работа по переводу нескольких формулировок еще не завершена. Вы можете присоединиться к обсуждению и внести свой вклад. Финальный результат мы отразим в этой статье и опубликуем на сайте сообщества.

Общее

Что такое АТТ&СК?

ATT&CK — это база знаний о поведениях компьютерных злоумышленников и таксономия действий, применяемых ими в ходе кибератак. ATT&CK описывает вредоносные поведения направленные против нескольких видов инфраструктур:

Зачем корпорация MITRE разработала ATT&CK?

MITRE разработала ATT&CK в 2013 году для документирования Тактик, Техник и Процедур (ТТП), которые преступные группировки использовали для кибератак на корпоративные инфраструктуры под управлением ОС Windows. ATT&CK был создан из-за необходимости документировать поведения злоумышленников в рамках другого исследовательского проекта MITRE под названием FMX. Целью FMX было исследование по использованию аналитики и телеметрии операционных систем для обнаружения злоумышленников в корпоративных инфраструктурах после их компрометации. Команда нападения имитировала действия атакующих внутри специальной лаборатории, а команда защиты разрабатывала аналитику для обнаружения их действий. ATT&CK использовался в качестве основы для тестирования эффективности сенсоров и аналитики в рамках FMX, а также выступал общим языком для совместной работы команд нападения и защиты.

Что такое «тактика»?

Тактика отвечает на вопрос «почему?» выполняется техника или подтехника ATT&CK. Это тактическая цель злоумышленника, причина совершения действия. Например, атакующему может быть необходимо закрепиться в системе.

Что такое «техника»?

Техника отвечает на вопрос «как?» злоумышленник достигает тактической цели, выполняя определенное действие. Например, атакующий может создать или модифицировать системный процесс чтобы закрепиться в системе.

Что такое «подтехника»?

Подтехника — это более конкретное описание поведения злоумышленника. Она описывает поведение на более низком уровне, чем техника. Например, атакующий может модифицировать системный сервис ОС Windows чтобы закрепиться в системе.

Что такое «процедура»?

Процедура — это конкретная реализация техники или подтехники. Например, атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу. Процедуры классифицируются в ATT&CK как варианты реализации техник, выявленные в реальных компьютерных атаках. Они перечислены на страницах с описанием техник в секции «Procedure Examples».

В чем разница между подтехникой и процедурой?

Подтехники и процедуры описывают разные вещи в ATT&CK. Подтехники используются для классификации поведений, а процедуры используются для описания реализации техник в реальных компьютерных атаках. Кроме того, поскольку процедуры являются конкретными реализациями техник и подтехник, они могут включать в себя несколько дополнительных поведений. Например, процедура "атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу" является реализацией техники T1112: Modify Registry и подтехники T1543.003: Create or Modify System Process: Windows Service.

К каким технологиям применим ATT&CK?

Корпоративные инфраструктуры под управлением Windows, macOS и Linux; сетевые устройства и технологии контейнерной виртуализации; облачные вычисления, такие как Инфраструктура как услуга (IaaS), Программное обеспечение как услуга (SaaS), Office 365, Azure Active Directory (Azure AD) и Google Workspace.

Устройства промышленных сетей, серверы управления, серверы архивных данных, инженерные рабочие станции, полевые контроллеры/RTU/PLC/IED, человеко-машинные интерфейсы (HMI), серверы ввода/вывода, системы противоаварийной защиты (SIS), терминалы релейной защиты и автоматики.

Мобильные устройства под управлением Android и iOS.

Как я могу использовать ATT&CK?

ATT&CK можно использовать для поддержки различных процессов обеспечения защищенности, развития архитектуры безопасности, исследования угроз компьютерной безопасности и так далее. Обратитесь к странице Getting Started для получения информации о том, как начать использовать ATT&CK. Также ознакомьтесь с разделами Resources и Blog чтобы узнать о связанных проектах и других материалах.

О материалах

Как часто ATT&CK обновляется?

Два раза в год.

Откуда берется информация в ATT&CK?

Главными источниками данных в ATT&CK являются публично доступные отчеты об инцидентах и исследованиях угроз компьютерной безопасности. Из них выделяются общие ТТП. Также используются публично доступные исследования новых техник, схожих с уже известными поведениями. Это необходимо поскольку новые ТТП быстро принимаются на вооружение действующими преступными группировками. Для получения дополнительной информации см. The Design and Philosophy of ATT&CK.

Как я могу внести свой вклад в ATT&CK?

Ознакомьтесь с разделом Contribute.

Пожалуйста, свяжитесь с командой ATT&CK прежде чем браться за описание новой техники/группы/программного обеспечения. То, что вы собираетесь добавить, возможно, уже находится в разработке. Так вы сможете избежать лишней работы. Ваше авторство будет отмечено в финальной версии аналитики. На текущий момент, команда наиболее заинтересована в ТТП направленных против macOS и Linux.

Почему моя "любимая" преступная группировка не включена в ATT&CK?

Команда ATT&CK старается обработать как можно больше отчетов об угрозах, но это все что удалось опубликовать на текущий момент. Если вы обладаете недостающей информацией, помогите команде и сообществу, внеся свой вклад в ATT&CK. Свяжитесь с командой чтобы узнать работают ли они над описанием этой группы. В разделе Contribute доступны рекомендации по форматированию для заявок на добавление групп и программного обеспечения.

Ресурсы

Существуют ли API, которые я могу использовать для доступа к данным ATT&CK?

Да! Ознакомьтесь со страницей Interfaces for Working with ATT&CK.

Быть в курсе

Как мне быть в курсе того, что происходит с ATT&CK?

Следите за новостями в Твиттере @MITREattack и публикациями в Блоге.

ATT&CK и другие модели

Как ATT&CK соотносится с другими фреймворками и моделями?

Каждая модель и фреймворк могут решать разные задачи. Среди описанных вариантов использования, ATT&CK применяется для детального описания поведений злоумышленников. Команда разработчиков считает что большинство моделей и фреймворков комплементарны к ATT&CK, поэтому вам не обязательно выбирать что-то одно.

Какова связь между ATT&CK и Diamond Model?

ATT&CK и Diamond Model дополняют друг друга. ATT&CK полезен для описания поведений злоумышленника, а Diamond Model — для группировки нескольких инцидентов. Они могут использоваться вместе. Например, техники с привязкой к ATT&CK могут быть полезным источником данных для анализа возможностей атакующих посредством Diamond Model.

Какова связь между ATT&CK и Lockheed Martin Cyber Kill Chain®?

ATT&CK и Cyber Kill Chain дополняют друг друга. ATT&CK детально описывает поведения злоумышленников, в то время как Cyber Kill Chain предлагает высокоуровневое описание их целей. Тактики ATT&CK не имеют определенной последовательности и не всегда все из них встречаются в ходе одного вторжения, поскольку тактические цели атакующего меняются на протяжении всей операции. Cyber Kill Chain, в свою очередь, предлагает упорядоченные, следующие друг за другом фазы компьютерной атаки.

Правовая информация

Как правильно упоминать название ATT&CK?

MITRE ATT&CK® и ATT&CK® являются зарегистрированными товарными знаками корпорации MITRE.

  • Ваши первые упоминания в письменной форме должны включать «MITRE» перед «ATT&CK®», а после этого следует просто использовать «ATT&CK» (символ зарегистрированного товарного знака не требуется)

    • Пример первого упоминания: MITRE ATT&CK® — это курируемая база знаний и модель поведения компьютерных злоумышленников…

    • Пример последующих упоминаний: ATT&CK полезен для понимания рисков безопасности, связанных с известными поведениями компьютерных злоумышленников…

  • Заголовок всегда должен ссылаться на «MITRE ATT&CK» вместе (ни в коем случае не только на «ATT&CK®»)

  • Всегда используйте заглавные буквы в «ATT&CK», чтобы отделить ее от окружающего текста

  • Не изменяйте товарный знак, например, с помощью дефисов или аббревиатур. Например, "ATT&CK'd!", "Plan-of-ATT&CK", "ATTK"

  • Вы не можете использовать товарный знак ATT&CK каким-либо образом отображая принадлежность к MITRE, спонсорство или поддержку со стороны MITRE

  • Вы не можете использовать товарный знак ATT&CK каким-либо образом предполагая что материалы третьих лиц представляют взгляды и мнения MITRE или сотрудников MITRE, за исключением случаев, когда эти третьи стороны получили прямое разрешение от MITRE

  • Вы не можете использовать ATT&CK в названиях своих продуктов, услуг, товарных знаков, логотипах или названиях компаний

Где я могу скачать логотип MITRE ATT&CK?

Официальные источники:

Если вам нужен логотип MITRE ATT&CK в векторном формате, свяжитесь с командой ATT&CK.

Могу ли я использовать ATT&CK в своих продуктах и/или услугах?

Да. ATT&CK открыт и доступен любому человеку или организации для бесплатного использования. Если вы решили использовать ATT&CK, следуйте условиям использования. Если у вас есть дополнительные вопросы, свяжитесь с командой по адресу attack@mitre.org.

Помните, что вы не можете использовать MITRE ATT&CK, MITRE или ATT&CK таким образом, который предполагает одобрение какого-либо продукта или услуги. MITRE не поддерживает организации, отдельных лиц и т.д., которые используют MITRE ATT&CK в своей работе. Использование MITRE ATT&CK не означает одобрения или поддержки со стороны MITRE.

О сообществе

Мы — русскоязычные специалисты по компьютерной безопасности, использующие MITRE ATT&CK®. Распространяем знания для борьбы с угрозами компьютерной безопасности.

Переводили

Ресурсы и контакты

Комментарии (4)


  1. gleb_l
    30.03.2022 22:23
    +5

    HTML уже лет 40 как, и до сих пор правильно делать HTML encoding не умеют даже очень взрослые информационные системы, капитализация которых исчисляется минимум миллионами долларов - смотрим на вечный & :)

    Хабр, стыдно!


  1. kurvimetr
    30.03.2022 23:54
    +2

    Интересная статья, интересный подход в целом) Блин, вот в чем западному менталитету стоит, так сказать, честь отдать, так это в привычке педантично раскладывать всё по полочкам, и в том, что они очень не пренебрегают такой наукой как философия (вернее, пластом наук). Просто у нас большинство обывателей по-моему при упоминании слова "философия" чаще всего представляют себе душевные разговоры за сиськой пива =) А ее все же не зря называют матерью наук)


    1. qw1
      31.03.2022 09:38
      -1

      Почитайте любой русский учебник по ИБ.
      Там тоже найдёте миллионы тонн воды про «классификацию угроз», «векторы атаки» и т.п. философии, которая любого технаря загонит в жутчайшую тоску.

      И не только в ИБ. В-общем, русской научной школе не откажешь в привычке всё скрупулёзно классифицировать и «раскладывать по полочкам».


      1. Yugoslavskiy
        01.04.2022 03:48

        Там тоже найдёте миллионы тонн воды [...] которая любого технаря загонит в жутчайшую тоску.

        С вами сложно согласиться, поскольку ATT&CK создан технарями и технарями же развивается.