Что такое MITRE ATT&CK и как он может быть интегрирован с SIEM и XDR решениями

Что такое MITRE ATT&CK?

Платформа ATT&CK (акроним: читается как «Attack», расшифровывается «Adversarial Tactics, Techniques & Common Knowledge») — это общедоступная база знаний, в которой содержатся тактики и техники злоумышленников, а также всевозможные способы им противостоять.

ATT&CK была впервые представлена компанией MITRE в 2013 году. С тех пор платформа периодически обновляется и дополняется. Данные фреймворка ATT&CK представлены в виде подробной матрицы, где каждая строка соответствует отдельной тактике, а каждый столбец — конкретной технике, используемой киберпреступниками. Платформа широко используются в индустрии кибербезопасности как инструмент для обучения специалистов, а также как инструмент анализа и документирования атак.

На практике MITRE ATT&CK помогает специалистам по безопасности мыслить как злоумышленники, и от этого лучше понимать логику их действий. Платформа служит коллективной информационной базой, которая помогает профессионалам обнаруживать и пресекать любую зловредную активность.

Все данные, полученные аналитиками по кибербезопасности и охотниками за угрозами, так же попадают на платформу ATT&CK, расширяя таким образом и без того огромную базу знаний.

Примеры использования платформы MITRE ATT&CK

1. Приоритизация обнаружения угроз

Даже специалисты безопасности с высокими ресурсами не всегда могут защититься от всех возможных векторов угроз. Платформа ATT&CK предлагает готовый план, который поможет понять, на чём стоит сосредоточить свои усилия, а что не столь важно в данный момент. Таким образом специалисты могут изучить методы, риски и целевые платформы, чтобы обучиться эффективному противодействию конкретным атакам и разработать свой собственный план по реагированию на них.

2. Оценка существующей защиты

Платформа MITRE ATT&CK также может помочь оценить текущие инструменты защиты и оценить охват, обеспечиваемый определенными методами атак. Для каждого уникального случая могут быть применены разные уровни телеметрии.

Специалисты самостоятельно определяют угрозы, защита от которых должна быть для организации в приоритете. А также могут оценить, насколько надёжна эта защита прямо сейчас.

Кроме того, такой подход может помочь во время занятий по Red Teaming . Ведь матрица ATT&CK может помочь установить рамки пентеста, а также послужить в качестве системы показателей во время тестирования и после его завершения.

3. Отслеживание хакерских группировок

Организации часто сосредотачивают свои усилия по отслеживанию общеизвестного поведения конкретных группировок киберпреступников, которые имеют отношение к их сектору или вертикали. Платформа ATT&CK постоянно развивается по мере появления подобных угроз.

Организации могут использовать данный фреймворк как источник знаний, который помогает лучше понимать, а также отслеживать поведение и методы, используемые и демонстрируемые хакерскими группировками.

Что такое матрицы ATT&CK и какие типы матриц существуют?

У фреймворка MITTRE ATT&CK есть 3 типа матриц атак. Каждая представляет из себя список тактик (например, управление аутентификацией, обход обнаружения и т.д.) и подробное описание связанных с ними техник и процедур, которые используются злоумышленниками. Каждая тактика и техника имеет свой уровень опасности и распространенности, что помогает оценить угрозу для конкретной системы или организации. Рассмотрим каждую матрицу подробнее.

1. Матрица предприятия

Эта матрица охватывает те этапы жизненного цикла кибератаки, которые происходят после инициирования эксплойта. Корпоративная матрица MITRE ATT&CK включает в себя одиннадцать тактик, касающихся действий, которые могут потребоваться злоумышленникам для достижения ими конечной цели. Например, конечной целью может быть получение начального доступа к определенной системе, сбор данных, эксфильтрация данных или боковое перемещение.