19.05.2026 03:42
MoeImya 0 9300 Источник

Введение

В профессиональной среде информационной безопасности в последние годы всё чаще можно услышать мнение о том, что классические стандарты семейства ISO/IEC 27000 якобы постепенно теряют практическую ценность для современной кибербезопасности. Особенно часто подобные тезисы звучат на фоне популярности MITRE ATT&CK, Threat Hunting (проактивного поиска угроз), DFIR (Digital Forensics and Incident Response — цифровой криминалистики и реагирования на инциденты) и Detection Engineering (разработки механизмов обнаружения атак).

Аргументация обычно строится следующим образом: современные атаки используют облачную инфраструктуру, компрометацию идентификации, доверительные отношения между системами, легитимные административные инструменты и зачастую вообще обходятся без классического вредоносного программного обеспечения. При этом ISO/IEC 27001:2022 напрямую не описывает:

  • горизонтальное перемещение атакующего;

  • компрометацию токенов доступа;

  • механизмы закрепления;

  • техники обхода защиты;

  • скрытое управление атакой.

Из этого нередко делается ошибочный вывод: если стандарт не описывает современные атаки, значит он неприменим к современной кибербезопасности.

На практике подобная логика основана на методологической ошибке — смешении различных уровней архитектуры безопасности. ISO/IEC 27001, MITRE ATT&CK, SOC (Security Operations Center — центр мониторинга и реагирования) и DFIR не являются взаимозаменяемыми концепциями. Они решают разные задачи и функционируют на разных уровнях одной системы кибербезопасности.

Главная проблема современной дискуссии заключается в том, что в индустрии всё чаще пытаются противопоставлять:

  • ISO/IEC 27001 и governance (управление безопасностью);

  • MITRE ATT&CK и operational security (операционную безопасность).

На практике такое противопоставление искусственно. ISO/IEC 27001 никогда не создавался как модель поведения атакующего. Его задача — не объяснять механизмы компрометации Kerberos, кражу OAuth-токенов или lateral movement (горизонтальное перемещение внутри инфраструктуры). Стандарт отвечает на другие вопросы:

  • как организация управляет безопасностью;

  • как распределяется ответственность;

  • каким образом принимаются решения по рискам;

  • как реализуется управление инцидентами;

  • как обеспечивается непрерывное улучшение процессов.

MITRE ATT&CK решает совершенно иную задачу — систематизацию поведения атакующего. Именно поэтому ATT&CK не заменяет ISO/IEC 27001, а ISO/IEC 27001 не заменяет ATT&CK.

Почему техническая защита без governance быстро деградирует

Одной из наиболее опасных иллюзий современной индустрии является убеждение, что наличие:

  • SIEM;

  • EDR/XDR;

  • Threat Intelligence;

  • Threat Hunting;

  • ATT&CK dashboards;

автоматически делает организацию зрелой в области кибербезопасности.

Практика показывает обратное. Во многих организациях operational security (операционная безопасность) существует фрагментарно:

  • часть инфраструктуры не журналируется;

  • сроки хранения логов недостаточны;

  • облачные audit-логи удаляются слишком быстро;

  • критичные события вообще не собираются

  • расследования выполняются вручную.

При этом организация может обладать дорогостоящим SOC и современной SIEM-платформой.

В результате расследование превращается не в восстановление полной цепочки атаки, а в попытку собрать события по отдельным фрагментам данных. Именно здесь проявляется реальная роль ISO/IEC 27001. Зрелая ISMS (Information Security Management System — система менеджмента информационной безопасности) создаёт организационную среду, внутри которой SOC вообще становится работоспособным. Именно governance-процессы обеспечивают:

  • централизованное журналирование;

  • требования к срокам хранения логов;

  • forensic readiness (готовность к расследованиям);

  • распределение ответственности;

  • supplier security (безопасность подрядчиков);

  • auditability (возможность последующего аудита).

ATT&CK не является системой защиты

MITRE ATT&CK стал отраслевым стандартом для:

  • Threat Hunting;

  • Detection Engineering;

  • adversary emulation (моделирования действий атакующего);

  • threat-informed defense (защиты с учётом поведения атакующего).

Однако вокруг ATT&CK постепенно сформировалось опасное искажение. Многие организации начали воспринимать ATT&CK coverage как показатель зрелости безопасности. На практике это часто приводит к декоративной безопасности.

Во многих SOC привязка событий к ATT&CK сводится к формальному сопоставлению alert’ов с техниками:

  • T1059;

  • T1027;

  • T1566;

  • T1078.

При этом: качество обнаружения атак не улучшается, количество ложных срабатываний остаётся высоким, пробелы в телеметрии сохраняются, горизонтальное перемещение атакующих не обнаруживается.

Кризис классической IOC-модели

Исторически большинство SOC строилось вокруг IOC (Indicators of Compromise — индикаторов компрометации):

  • IP-адресов;

  • hash-сумм;

  • доменов;

  • сигнатур;

  • правил корреляции.

Подобный подход эффективно работал во времена:

  • массовых вредоносных программ;

  • простых phishing-кампаний;

  • статической инфраструктуры атакующих.

Однако современные атаки всё чаще используют:

  • легитимные административные инструменты;

  • украденные токены доступа;

  • OAuth-приложения;

  • API-ключи;

  • облачную идентификацию.

Эволюция атак

Пример современной компрометации Microsoft 365:

При этом:

  • рабочая станция остаётся «чистой»;

  • антивирус ничего не обнаруживает;

  • вредоносный файл отсутствует;

  • файловые артефакты минимальны.

Если SOC ориентирован исключительно на IOC-модель, подобная атака может оставаться незамеченной неделями.

Телеметрия становится фундаментом современной безопасности

Одной из наиболее недооценённых проблем современной кибербезопасности является кризис наблюдаемости инфраструктуры. Современный SOC зависит не столько от количества дашбордов, сколько от качества telemetry architecture (архитектуры телеметрии). Без полноценной телеметрии невозможны:

  • DFIR;

  • Threat Hunting;

  • поведенческая аналитика;

  • восстановление хронологии атаки;

  • Detection Engineering.

Кризис телеметрии

Предположим, если, среднее время присутствия атакующего составляет 21 день и DNS-логи хранятся только 7 дней. Тогда организация теряет 67% потенциальной сетевой хронологии атаки ещё до начала расследования:

Почему современные атаки ломают линейные модели

Классические модели вроде Cyber Kill Chain сыграли огромную роль в развитии индустрии. Однако современная практика всё меньше соответствует линейной модели атаки. Сегодня компрометация развивается циклически. Атакующий:

  • получает initial access (первичный доступ);

  • проводит внутреннюю разведку;

  • повторно повышает привилегии;

  • меняет механизмы закрепления;

  • адаптирует инструменты под среду;

  • перемещается между cloud и on-premise инфраструктурой.

Современная атака — это уже не линейная цепочка действий. Это continuously adaptive intrusion process (постоянно адаптирующийся процесс вторжения).

Современный SOC уже нельзя воспринимать как «центр мониторинга SIEM». Сегодня это постоянно адаптирующаяся аналитическая среда, внутри которой:

  • непрерывно изменяются механизмы обнаружения;

  • оценивается качество телеметрии;

  • пересматриваются правила корреляции;

  • адаптируются сценарии реагирования.

Почему облака радикально меняют DFIR

Исторически DFIR был ориентирован на:

  • анализ дисков;

  • память;

  • файловую систему;

  • вредоносное ПО.

Однако современные cloud-native компрометации всё чаще вообще не оставляют классических forensic artifacts (криминалистических артефактов). Компрометация облачной идентификации может существовать исключительно:

  • на уровне access tokens;

  • delegated permissions;

  • OAuth grants;

  • API activity;

  • cloud sessions.

Заключение

Противопоставление ISO/IEC 27001 и MITRE ATT&CK является методологически ошибочным. Они не конкурируют между собой.

ISO/IEC 27001 создаёт:

  • governance;

  • accountability (подотчётность);

  • процессное управление;

  • риск-ориентированную модель безопасности;

  • организационную устойчивость.

MITRE ATT&CK:

  • систематизирует поведение атакующего;

  • помогает Detection Engineering;

  • поддерживает threat-informed defense.

DFIR:

  • восстанавливает хронологию компрометации;

  • выявляет слабые места защиты;

  • помогает понять развитие атаки.

SOC:

  • обеспечивает мониторинг;

  • формирует visibility;

  • реализует обнаружение и реагирование.

Зрелая кибербезопасность возникает только тогда, когда: управление, защитные меры, телеметрия, обнаружение, реагирование и адаптация формируют единую, постоянно развивающуюся экосистему безопасности.

Комментарии (0)