MITRE ATT&CK
В этой статье расскажем про методологию, которая помогает компаниям системно обеспечивать защиту. Расскажем в чем суть этой системы, какие у нее есть возможность и недостатки.
Что такое MITRE ATT&CK
База знаний, систематизированное описание тактик, техник и процедур (TTP), которые используют во время атак на информационные системы. Этот стандарт разработан некоммерческой организацией MITRE, цель которой — поддержка исследований в области безопасности и предоставление руководства для обнаружения и реагирования на киберугрозы. MITRE ATT&CK состоит из нескольких основных компонентов, которые описывают поведение злоумышленников на различных этапах кибератаки:
Тактики. Описывают цели или «фазы» атаки, например, первоначальное проникновение, установка постоянного доступа, перемещение по сети, сбор данных и т.д.
Техники. Это специфические методы, которые применяют противники для достижения тактических целей. Например, фишинг — техника проникновения.
Процедуры. Более детальные описания реальных способов, которыми техники могут быть применены. Процедуры включают конкретные примеры подходов, программного обеспечения, скриптов и команд, которые используют атакующие.
Кроме того, ATT&CK включает подробные профили для злоумышленников и групп, включая их намерения, задачи и применяемые ими TTP (tactics, techniques and procedures).
ATT&CK организован в матрицы в соответствии с типами платформ, на которые направлены атаки (например, Windows, macOS, Linux, облачные инфраструктуры, мобильные устройства и т.д.).
Зачем нужна методология
Систематизирует знания о киберугрозах. ATT&CK предлагает свод правил, который помогает понимать, как злоумышленники могут атаковать ИТ-инфраструктуру.
Улучшает защиту. С помощью стандарта организации могут проверять свои защитные меры и выявлять уязвимости в системах.
Тренирует спецов. Стандарт используют в обучении специалистов по информационной безопасности.
Оценивает инструменты безопасности.
Для чего используют методологию
Организации всех масштабов используют ATT&CK для разработки планов обороны и реагирования на инциденты.
Специалисты по кибербезопасности применяют его для симуляции атак и тренировки команд реагирования.
Разработчики безопасных решений используют для тестирования и улучшения своей продукции.
Исследователи применяют для анализа тенденций и создания отчетов о киберугрозах.
Плюсы MITRE ATT&CK:
Охватывает широкий спектр атак и тактик, используемых киберпреступниками.
Постоянно обновляется и поддерживается сообществом экспертов.
Универсальность и применимость для различных организаций и отраслей.
Содействие обмену знаниями и лучшим практиками между специалистами и организациями.
Минусы MITRE ATT&CK
Не для новичков
Всегда требуется адаптация методологии под компанию
Не заменяет необходимость в постоянном обучении и обновлении знаний в сфере кибербезопасности.
Last updated