MITRE ATT&CK — одна из популяр­ней­ших методо­логий сре­ди спе­циалис­тов по информа­цион­ной безопас­ности, теперь дополнена матрицей противодействия - D3FEND, что позволит адаптировать защиту от конкретных киберугроз.

В дополнение к модели ATT&CK, основанной на угрозах, D3FEND предоставляет модель способов противодействия распространенным наступательным приемам, перечисляя различные защитные меры и их влияние на укрепление защиты.

D3FEND позволяет профессионалам в области кибербезопасности адаптировать защиту от конкретных киберугроз, тем самым уменьшая потенциальную поверхность атаки. В результате D3FEND будет способствовать более эффективному проектированию, развертыванию и защите сетевых систем в целом.

Таблица знаний о мерах противодействия кибербезопасности содержит 4 раздела:

Упрочнение

В этом разделе содержится информация об укреплении защиты приложений, учетных данных, сообщений и платформ.

Обнаружение

Раздел содержит информацию о выявлении угроз: файловый анализ; анализ идентификаторов; анализ сообщений; сетевой анализ; мониторинга платформы; анализ процессов; поведенческий поведения.

Изолирование

Раздел содержит информацию о средах изоляции при исполнении или сетевом взаимодействии.

Хитрости

Этот раздел посвящен средствам обмана злоумышленника: хонейпот системам и приманкам, для выявления злоумышленников.

Изгнание

Раздел посвящен блокировке скомпрометированных ресурсов/учетных данных.

Такие платформы, как ATT&CK и D3FEND, предоставляют независимые инструменты для промышленности и государственного сектора проводить анализ и противодействовать актуальным угрозам. 

Данное исследование было профинансировано АНБ и было направленно на повышение кибербезопасности систем национальной безопасности, министерства обороны и оборонной промышленной базы.

Специалисты по кибербезопасности могут оставлять комментарии для улучшения и добавления в структуру, связавшись с командой MITRE D3FEND по адресу https://d3fend.mitre.org.

В РФ тоже существует аналогичная структура https://bdu.fstec.ru/ - банк данных угроз:

Целью создания и ведения настоящего Банка данных угроз безопасности информации является повышение информированности заинтересованных лиц о существующих угрозах безопасности информации в информационных (автоматизированных) системах.

Банк данных угроз безопасности информации предназначен для заказчиков, операторов, разработчиков информационных (автоматизированных) систем и их систем защиты, разработчиков и производителей средств защиты информации, испытательных лабораторий и органов по сертификации средств защиты информации, а также иных заинтересованных организаций и лиц.

Банк данных угроз безопасности информации содержит сведения об основных угрозах безопасности информации и уязвимостях, в первую очередь, характерных для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.

Сведения об угрозах безопасности информации и уязвимостях программного обеспечения, содержащиеся в Банке данных угроз безопасности информации, не являются исчерпывающими и могут быть дополнены по результатам анализа угроз безопасности информации и уязвимостей в конкретной информационной (автоматизированной) системе с учетом особенностей ее эксплуатации.

Угрозы безопасности информации, включенные в состав банка данных угроз, не являются элементами иерархической классификационной системы угроз, а представляют собой обобщенный перечень основных угроз безопасности информации, потенциально опасных для информационных систем.