FAQ MITRE ATT&CK оказался крайне нераспространенным документом, при всей его познавательной ценности как в перспективе, так и для текущей деятельности сообщества. Поэтому мы решили его перевести. Результат под катом.
Работа по переводу нескольких формулировок еще не завершена. Вы можете присоединиться к обсуждению и внести свой вклад. Финальный результат мы отразим в этой статье и опубликуем на сайте сообщества.
Общее
Что такое АТТ&СК?
ATT&CK — это база знаний о поведениях компьютерных злоумышленников и таксономия действий, применяемых ими в ходе кибератак. ATT&CK описывает вредоносные поведения направленные против нескольких видов инфраструктур:
ATT&CK for Enterprise — корпоративные сети и облачные вычисления
ATT&CK for ICS — системы промышленной автоматизации
ATT&CK for Mobile — мобильные устройства
Зачем корпорация MITRE разработала ATT&CK?
MITRE разработала ATT&CK в 2013 году для документирования Тактик, Техник и Процедур (ТТП), которые преступные группировки использовали для кибератак на корпоративные инфраструктуры под управлением ОС Windows. ATT&CK был создан из-за необходимости документировать поведения злоумышленников в рамках другого исследовательского проекта MITRE под названием FMX. Целью FMX было исследование по использованию аналитики и телеметрии операционных систем для обнаружения злоумышленников в корпоративных инфраструктурах после их компрометации. Команда нападения имитировала действия атакующих внутри специальной лаборатории, а команда защиты разрабатывала аналитику для обнаружения их действий. ATT&CK использовался в качестве основы для тестирования эффективности сенсоров и аналитики в рамках FMX, а также выступал общим языком для совместной работы команд нападения и защиты.
Что такое «тактика»?
Тактика отвечает на вопрос «почему?» выполняется техника или подтехника ATT&CK. Это тактическая цель злоумышленника, причина совершения действия. Например, атакующему может быть необходимо закрепиться в системе.
Что такое «техника»?
Техника отвечает на вопрос «как?» злоумышленник достигает тактической цели, выполняя определенное действие. Например, атакующий может создать или модифицировать системный процесс чтобы закрепиться в системе.
Что такое «подтехника»?
Подтехника — это более конкретное описание поведения злоумышленника. Она описывает поведение на более низком уровне, чем техника. Например, атакующий может модифицировать системный сервис ОС Windows чтобы закрепиться в системе.
Что такое «процедура»?
Процедура — это конкретная реализация техники или подтехники. Например, атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу. Процедуры классифицируются в ATT&CK как варианты реализации техник, выявленные в реальных компьютерных атаках. Они перечислены на страницах с описанием техник в секции «Procedure Examples».
В чем разница между подтехникой и процедурой?
Подтехники и процедуры описывают разные вещи в ATT&CK. Подтехники используются для классификации поведений, а процедуры используются для описания реализации техник в реальных компьютерных атаках. Кроме того, поскольку процедуры являются конкретными реализациями техник и подтехник, они могут включать в себя несколько дополнительных поведений. Например, процедура "атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу" является реализацией техники T1112: Modify Registry и подтехники T1543.003: Create or Modify System Process: Windows Service.
К каким технологиям применим ATT&CK?
Корпоративные инфраструктуры под управлением Windows, macOS и Linux; сетевые устройства и технологии контейнерной виртуализации; облачные вычисления, такие как Инфраструктура как услуга (IaaS), Программное обеспечение как услуга (SaaS), Office 365, Azure Active Directory (Azure AD) и Google Workspace.
Устройства промышленных сетей, серверы управления, серверы архивных данных, инженерные рабочие станции, полевые контроллеры/RTU/PLC/IED, человеко-машинные интерфейсы (HMI), серверы ввода/вывода, системы противоаварийной защиты (SIS), терминалы релейной защиты и автоматики.
Мобильные устройства под управлением Android и iOS.
Как я могу использовать ATT&CK?
ATT&CK можно использовать для поддержки различных процессов обеспечения защищенности, развития архитектуры безопасности, исследования угроз компьютерной безопасности и так далее. Обратитесь к странице Getting Started для получения информации о том, как начать использовать ATT&CK. Также ознакомьтесь с разделами Resources и Blog чтобы узнать о связанных проектах и других материалах.
О материалах
Как часто ATT&CK обновляется?
Два раза в год.
Откуда берется информация в ATT&CK?
Главными источниками данных в ATT&CK являются публично доступные отчеты об инцидентах и исследованиях угроз компьютерной безопасности. Из них выделяются общие ТТП. Также используются публично доступные исследования новых техник, схожих с уже известными поведениями. Это необходимо поскольку новые ТТП быстро принимаются на вооружение действующими преступными группировками. Для получения дополнительной информации см. The Design and Philosophy of ATT&CK.
Как я могу внести свой вклад в ATT&CK?
Ознакомьтесь с разделом Contribute.
Пожалуйста, свяжитесь с командой ATT&CK прежде чем браться за описание новой техники/группы/программного обеспечения. То, что вы собираетесь добавить, возможно, уже находится в разработке. Так вы сможете избежать лишней работы. Ваше авторство будет отмечено в финальной версии аналитики. На текущий момент, команда наиболее заинтересована в ТТП направленных против macOS и Linux.
Почему моя "любимая" преступная группировка не включена в ATT&CK?
Команда ATT&CK старается обработать как можно больше отчетов об угрозах, но это все что удалось опубликовать на текущий момент. Если вы обладаете недостающей информацией, помогите команде и сообществу, внеся свой вклад в ATT&CK. Свяжитесь с командой чтобы узнать работают ли они над описанием этой группы. В разделе Contribute доступны рекомендации по форматированию для заявок на добавление групп и программного обеспечения.
Ресурсы
Существуют ли API, которые я могу использовать для доступа к данным ATT&CK?
Да! Ознакомьтесь со страницей Interfaces for Working with ATT&CK.
Быть в курсе
Как мне быть в курсе того, что происходит с ATT&CK?
Следите за новостями в Твиттере @MITREattack и публикациями в Блоге.
ATT&CK и другие модели
Как ATT&CK соотносится с другими фреймворками и моделями?
Каждая модель и фреймворк могут решать разные задачи. Среди описанных вариантов использования, ATT&CK применяется для детального описания поведений злоумышленников. Команда разработчиков считает что большинство моделей и фреймворков комплементарны к ATT&CK, поэтому вам не обязательно выбирать что-то одно.
Какова связь между ATT&CK и Diamond Model?
ATT&CK и Diamond Model дополняют друг друга. ATT&CK полезен для описания поведений злоумышленника, а Diamond Model — для группировки нескольких инцидентов. Они могут использоваться вместе. Например, техники с привязкой к ATT&CK могут быть полезным источником данных для анализа возможностей атакующих посредством Diamond Model.
Какова связь между ATT&CK и Lockheed Martin Cyber Kill Chain®?
ATT&CK и Cyber Kill Chain дополняют друг друга. ATT&CK детально описывает поведения злоумышленников, в то время как Cyber Kill Chain предлагает высокоуровневое описание их целей. Тактики ATT&CK не имеют определенной последовательности и не всегда все из них встречаются в ходе одного вторжения, поскольку тактические цели атакующего меняются на протяжении всей операции. Cyber Kill Chain, в свою очередь, предлагает упорядоченные, следующие друг за другом фазы компьютерной атаки.
Правовая информация
Как правильно упоминать название ATT&CK?
MITRE ATT&CK® и ATT&CK® являются зарегистрированными товарными знаками корпорации MITRE.
-
Ваши первые упоминания в письменной форме должны включать «MITRE» перед «ATT&CK®», а после этого следует просто использовать «ATT&CK» (символ зарегистрированного товарного знака не требуется)
Пример первого упоминания: MITRE ATT&CK® — это курируемая база знаний и модель поведения компьютерных злоумышленников…
Пример последующих упоминаний: ATT&CK полезен для понимания рисков безопасности, связанных с известными поведениями компьютерных злоумышленников…
Заголовок всегда должен ссылаться на «MITRE ATT&CK» вместе (ни в коем случае не только на «ATT&CK®»)
Всегда используйте заглавные буквы в «ATT&CK», чтобы отделить ее от окружающего текста
Не изменяйте товарный знак, например, с помощью дефисов или аббревиатур. Например, "ATT&CK'd!", "Plan-of-ATT&CK", "ATTK"
Вы не можете использовать товарный знак ATT&CK каким-либо образом отображая принадлежность к MITRE, спонсорство или поддержку со стороны MITRE
Вы не можете использовать товарный знак ATT&CK каким-либо образом предполагая что материалы третьих лиц представляют взгляды и мнения MITRE или сотрудников MITRE, за исключением случаев, когда эти третьи стороны получили прямое разрешение от MITRE
Вы не можете использовать ATT&CK в названиях своих продуктов, услуг, товарных знаков, логотипах или названиях компаний
Где я могу скачать логотип MITRE ATT&CK?
Официальные источники:
Если вам нужен логотип MITRE ATT&CK в векторном формате, свяжитесь с командой ATT&CK.
Могу ли я использовать ATT&CK в своих продуктах и/или услугах?
Да. ATT&CK открыт и доступен любому человеку или организации для бесплатного использования. Если вы решили использовать ATT&CK, следуйте условиям использования. Если у вас есть дополнительные вопросы, свяжитесь с командой по адресу attack@mitre.org.
Помните, что вы не можете использовать MITRE ATT&CK, MITRE или ATT&CK таким образом, который предполагает одобрение какого-либо продукта или услуги. MITRE не поддерживает организации, отдельных лиц и т.д., которые используют MITRE ATT&CK в своей работе. Использование MITRE ATT&CK не означает одобрения или поддержки со стороны MITRE.
О сообществе
Мы — русскоязычные специалисты по компьютерной безопасности, использующие MITRE ATT&CK®. Распространяем знания для борьбы с угрозами компьютерной безопасности.
Переводили
Ресурсы и контакты
Группа в телеграм: @attack_community
Канал в телеграм: @attack_community_channel
Веб-сайт: https://attack.community
Email: contact@attack.community
Комментарии (4)
kurvimetr
30.03.2022 23:54+2Интересная статья, интересный подход в целом) Блин, вот в чем западному менталитету стоит, так сказать, честь отдать, так это в привычке педантично раскладывать всё по полочкам, и в том, что они очень не пренебрегают такой наукой как философия (вернее, пластом наук). Просто у нас большинство обывателей по-моему при упоминании слова "философия" чаще всего представляют себе душевные разговоры за сиськой пива =) А ее все же не зря называют матерью наук)
qw1
31.03.2022 09:38-1Почитайте любой русский учебник по ИБ.
Там тоже найдёте миллионы тонн воды про «классификацию угроз», «векторы атаки» и т.п. философии, которая любого технаря загонит в жутчайшую тоску.
И не только в ИБ. В-общем, русской научной школе не откажешь в привычке всё скрупулёзно классифицировать и «раскладывать по полочкам».Yugoslavskiy
01.04.2022 03:48Там тоже найдёте миллионы тонн воды [...] которая любого технаря загонит в жутчайшую тоску.
С вами сложно согласиться, поскольку ATT&CK создан технарями и технарями же развивается.
gleb_l
HTML уже лет 40 как, и до сих пор правильно делать HTML encoding не умеют даже очень взрослые информационные системы, капитализация которых исчисляется минимум миллионами долларов - смотрим на вечный & :)
Хабр, стыдно!