# MITRE ATT\&CK ### Что такое MITRE ATT\&CK База знаний, систематизированное описание тактик, техник и процедур (TTP), которые используют во время атак на информационные системы. Этот стандарт разработан некоммерческой организацией MITRE, цель которой — поддержка исследований в области безопасности и предоставление руководства для обнаружения и реагирования на киберугрозы.\ \ MITRE ATT\&CK состоит из нескольких основных компонентов, которые описывают поведение злоумышленников на различных этапах кибератаки: 1. **Тактики.** Описывают цели или «фазы» атаки, например, первоначальное проникновение, установка постоянного доступа, перемещение по сети, сбор данных и т.д. 2. **Техники.** Это специфические методы, которые применяют противники для достижения тактических целей. Например, фишинг — техника проникновения. 3. **Процедуры.** Более детальные описания реальных способов, которыми техники могут быть применены. Процедуры включают конкретные примеры подходов, программного обеспечения, скриптов и команд, которые используют атакующие. Кроме того, ATT\&CK включает подробные профили для злоумышленников и групп, включая их намерения, задачи и применяемые ими TTP (tactics, techniques and procedures). ATT\&CK организован в матрицы в соответствии с типами платформ, на которые направлены атаки (например, Windows, macOS, Linux, облачные инфраструктуры, мобильные устройства и т.д.). ### Зачем нужна методология 1. **Систематизирует знания о киберугрозах.** ATT\&CK предлагает свод правил, который помогает понимать, как злоумышленники могут атаковать ИТ-инфраструктуру. 2. **Улучшает защиту.** С помощью стандарта организации могут проверять свои защитные меры и выявлять уязвимости в системах. 3. **Тренирует спецов.** Стандарт используют в обучении специалистов по информационной безопасности. 4. **Оценивает инструменты безопасности.** ### Для чего используют методологию * Организации всех масштабов используют ATT\&CK для разработки планов обороны и реагирования на инциденты. * Специалисты по кибербезопасности применяют его для симуляции атак и тренировки команд реагирования. * Разработчики безопасных решений используют для тестирования и улучшения своей продукции. * Исследователи применяют для анализа тенденций и создания отчетов о киберугрозах. ### Плюсы MITRE ATT\&CK: * Охватывает широкий спектр атак и тактик, используемых киберпреступниками. * Постоянно обновляется и поддерживается сообществом экспертов. * Универсальность и применимость для различных организаций и отраслей. * Содействие обмену знаниями и лучшим практиками между специалистами и организациями. Минусы MITRE ATT\&CK * Не для новичков * Всегда требуется адаптация методологии под компанию * Не заменяет необходимость в постоянном обучении и обновлении знаний в сфере кибербезопасности.