FAQ MITRE ATT&CK оказался крайне нераспространенным документом, при всей его познавательной ценности как в перспективе, так и для текущей деятельности сообщества. Поэтому мы решили его перевести. Результат под катом.
Работа по переводунескольких формулировокеще не завершена. Вы можете присоединиться кобсуждениюи внести свой вклад. Финальный результат мы отразим в этой статье и опубликуем насайте сообщества.UPD 22.09.2022: Обсуждение завершено, результат отразили в статье.
Общее
Что такое АТТ&СК?
ATT&CK представляет собой базу знаний и систему классификаций действий злоумышленников, предпринимаемых ими в ходе кибератак. ATT&CK описывает вредоносные действия направленные против нескольких видов инфраструктур:
ATT&CK for Enterprise — корпоративные сети и облачные вычисления
ATT&CK for ICS — системы промышленной автоматизации
ATT&CK for Mobile — мобильные устройства
Зачем корпорация MITRE разработала ATT&CK?
MITRE разработала ATT&CK в 2013 году для документирования Тактик, Техник и Процедур (ТТП), которые злоумышленники использовали для целенаправленных кибератак на корпоративные инфраструктуры под управлением ОС Windows. Фреймворк был создан с целью документирования действий злоумышленников для использования в исследовательском проекте MITRE под названием FMX. Целью FMX было исследование возможности использования аналитики и телеметрии операционных систем для обнаружения злоумышленников после получения ими доступа к корпоративным сетям. Команда нападения имитировала действия атакующих внутри специальной лаборатории, а команда защиты разрабатывала аналитику для обнаружения их действий. ATT&CK использовался в качестве основы для тестирования эффективности сенсоров и аналитики в рамках FMX, а также выступал общим языком для совместной работы команд нападения и защиты.
Что такое «тактика»?
Тактика отвечает на вопрос «почему?» выполняется техника или подтехника ATT&CK. Это тактическая цель злоумышленника, причина совершения действия. Например, атакующему может быть необходимо закрепиться в системе.
Что такое «техника»?
Техника отвечает на вопрос «как?» злоумышленник достигает тактической цели, выполняя определенное действие. Например, атакующий может создать или модифицировать системный процесс чтобы закрепиться в системе.
Что такое «подтехника»?
Подтехника — это более конкретное, низкоуровневое описание действия злоумышленника. Например, атакующий может модифицировать системный сервис ОС Windows чтобы закрепиться в системе.
Что такое «процедура»?
Процедура — это конкретная реализация техники или подтехники. Например, атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу. Процедуры классифицируются в ATT&CK как варианты реализации техник, выявленные в реальных компьютерных атаках. Они перечислены на страницах с описанием техник в секции «Procedure Examples».
В чем разница между подтехникой и процедурой?
Подтехники и процедуры описывают разные вещи в ATT&CK. Подтехники используются для классификации действий, а процедуры используются для описания реализации техник в реальных компьютерных атаках. Кроме того, поскольку процедуры являются конкретными реализациями техник и подтехник, они могут включать в себя несколько дополнительных действий. Например, процедура "атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу" является реализацией техники T1112: Modify Registry и подтехники T1543.003: Create or Modify System Process: Windows Service.
К каким технологиям применим ATT&CK?
Корпоративные инфраструктуры под управлением Windows, macOS и Linux; сетевые устройства и технологии контейнерной виртуализации; облачные вычисления, такие как Инфраструктура как услуга (IaaS), Программное обеспечение как услуга (SaaS), Office 365, Azure Active Directory (Azure AD) и Google Workspace.
Устройства промышленных сетей, серверы управления, серверы архивных данных, инженерные рабочие станции, полевые контроллеры/RTU/PLC/IED, человеко-машинные интерфейсы (HMI), серверы ввода/вывода, системы противоаварийной защиты (SIS), терминалы релейной защиты и автоматики.
Мобильные устройства под управлением Android и iOS.
Как я могу использовать ATT&CK?
ATT&CK можно использовать для поддержки различных процессов обеспечения защищенности, развития архитектуры безопасности, исследования киберугроз и так далее. Обратитесь к странице Getting Started для получения информации о том, как начать использовать ATT&CK. Также ознакомьтесь с разделами Resources и Blog чтобы узнать о связанных проектах и других материалах.
О материалах
Как часто ATT&CK обновляется?
Два раза в год.
Откуда берется информация в ATT&CK?
Главными источниками данных в ATT&CK являются публично доступные отчеты об инцидентах и исследованиях киберугроз. Из них выделяются общие ТТП. Также используются публично доступные исследования новых техник, схожих с уже известными вредоносными действиями. Это необходимо поскольку новые ТТП быстро принимаются на вооружение действующими преступными группировками. Для получения дополнительной информации см. The Design and Philosophy of ATT&CK.
Как я могу внести свой вклад в ATT&CK?
Ознакомьтесь с разделом Contribute.
Пожалуйста, свяжитесь с командой ATT&CK прежде чем браться за описание новой техники/группы/программного обеспечения. То что вы хотите добавить может уже разрабатываться другими аналитиками. Так вы сможете избежать лишней работы. Ваше авторство будет отмечено в финальной версии аналитики. На текущий момент, команда наиболее заинтересована в ТТП направленных против macOS и Linux.
Почему моя "любимая" преступная группировка не включена в ATT&CK?
Команда ATT&CK старается обработать как можно больше отчетов об угрозах, но это все что удалось опубликовать на текущий момент. Если вы обладаете недостающей информацией, помогите команде и сообществу, внеся свой вклад в ATT&CK. Свяжитесь с командой чтобы узнать работают ли они над описанием этой группы. В разделе Contribute доступны рекомендации по форматированию для заявок на добавление групп и программного обеспечения.
Ресурсы
Существуют ли API, которые я могу использовать для доступа к данным ATT&CK?
Да! Ознакомьтесь со страницей Interfaces for Working with ATT&CK.
Быть в курсе
Как мне быть в курсе того, что происходит с ATT&CK?
Следите за новостями в Твиттере @MITREattack и публикациями в официальном Блоге.
За новостями на русском языке можно следить в телеграм канале русскоязычного сообщества: @attack_community_channel
ATT&CK и другие модели
Как ATT&CK соотносится с другими фреймворками и моделями?
Каждая модель и фреймворк могут решать разные задачи. Команда разработчиков описала несколько сценариев, в которых ATT&CK может быть использован для получения подробной информации о действиях злоумышленников. Большинство моделей и фреймворков комплементарны к ATT&CK, поэтому вам не обязательно выбирать что-то одно.
Какова связь между ATT&CK и Diamond Model?
ATT&CK и Diamond Model дополняют друг друга. ATT&CK подробно описывает действия злоумышленников, тогда как Diamond Model может быть использована для группировки нескольких инцидентов. Они могут использоваться вместе. Например, техники с привязкой к ATT&CK могут быть полезным источником данных для анализа возможностей атакующих посредством Diamond Model.
Какова связь между ATT&CK и Lockheed Martin Cyber Kill Chain®?
ATT&CK и Cyber Kill Chain дополняют друг друга. ATT&CK описывает действия злоумышленников более детально, в отличии от Cyber Kill Chain. Тактики ATT&CK не имеют определенной последовательности и не всегда все из них встречаются в ходе одного вторжения, поскольку тактические цели атакующего меняются на протяжении всей операции. Cyber Kill Chain, в свою очередь, предлагает упорядоченные, следующие друг за другом фазы компьютерной атаки.
Правовая информация
Как правильно упоминать название ATT&CK?
MITRE ATT&CK® и ATT&CK® являются зарегистрированными товарными знаками корпорации MITRE.
Ваши первые упоминания в письменной форме должны включать «MITRE» перед «ATT&CK®», а после этого следует просто использовать «ATT&CK» (символ зарегистрированного товарного знака не требуется)
Пример первого упоминания: MITRE ATT&CK® представляет собой официально поддерживаемую базу знаний и модель поведения злоумышленников...
Пример последующих упоминаний: ATT&CK помогает понять какие угрозы кибербезопасности могут представлять известные действия злоумышленников…
Заголовок всегда должен ссылаться на «MITRE ATT&CK» вместе (ни в коем случае не только на «ATT&CK®»)
Всегда используйте заглавные буквы в «ATT&CK», чтобы отделить ее от окружающего текста
Не изменяйте товарный знак, например, с помощью дефисов или аббревиатур. Например, "ATT&CK'd!", "Plan-of-ATT&CK", "ATTK"
Вы не можете использовать товарный знак ATT&CK каким-либо образом отображая принадлежность к MITRE, спонсорство или поддержку со стороны MITRE
Вы не можете использовать товарный знак ATT&CK каким-либо образом предполагая что материалы третьих лиц представляют взгляды и мнения MITRE или сотрудников MITRE, за исключением случаев, когда эти третьи стороны получили прямое разрешение от MITRE
Вы не можете использовать ATT&CK в названиях своих продуктов, услуг, товарных знаков, логотипах или названиях компаний
Где я могу скачать логотип MITRE ATT&CK?
Официальные источники:
Если вам нужен логотип MITRE ATT&CK в векторном формате, свяжитесь с командой ATT&CK.
Могу ли я использовать ATT&CK в своих продуктах и/или услугах?
Да. ATT&CK открыт и доступен любому человеку или организации для бесплатного использования. Если вы решили использовать ATT&CK, следуйте условиям использования. Если у вас есть дополнительные вопросы, свяжитесь с командой по адресу attack@mitre.org.
Помните, что вы не можете использовать MITRE ATT&CK, MITRE или ATT&CK таким образом, который предполагает одобрение какого-либо продукта или услуги. MITRE не поддерживает организации, отдельных лиц и т.д., которые используют MITRE ATT&CK в своей работе. Использование MITRE ATT&CK не означает одобрения или поддержки со стороны MITRE.
О сообществе
Мы — русскоязычные специалисты по компьютерной безопасности, использующие MITRE ATT&CK®. Распространяем знания для борьбы с угрозами кибербезопасности.
Переводили
Антон Шипулин, сооснователь RUSCADASEC
Олег Скулкин, Руководитель лаборатории цифровой криминалистики и исследования вредоносного кода Group-IB
Илья Енин, SOC Analyst Team Lead, Kaspersky Lab
Ольга Моск, редактор, переводчик, менеджер проектов Positive Technologies
Даниил Югославский, волонтер Russians for Ukraine
Ресурсы и контакты
Группа в телеграм: @attack_community
Канал в телеграм: @attack_community_channel
Веб-сайт: https://attack.community
Email: contact@attack.community
