Как стать автором
Обновить

Перевод официального FAQ MITRE ATT&CK

Информационная безопасность *Open source *Социальные сети и сообщества
Из песочницы
Перевод
Автор оригинала: Команда ATT&CK

FAQ MITRE ATT&CK оказался крайне нераспространенным документом, при всей его познавательной ценности как в перспективе, так и для текущей деятельности сообщества. Поэтому мы решили его перевести. Результат под катом.

Работа по переводу нескольких формулировок еще не завершена. Вы можете присоединиться к обсуждению и внести свой вклад. Финальный результат мы отразим в этой статье и опубликуем на сайте сообщества.

UPD 22.09.2022: Обсуждение завершено, результат отразили в статье.

Общее

Что такое АТТ&СК?

ATT&CK представляет собой базу знаний и систему классификаций действий злоумышленников, предпринимаемых ими в ходе кибератак. ATT&CK описывает вредоносные действия направленные против нескольких видов инфраструктур:

Зачем корпорация MITRE разработала ATT&CK?

MITRE разработала ATT&CK в 2013 году для документирования Тактик, Техник и Процедур (ТТП), которые злоумышленники использовали для целенаправленных кибератак на корпоративные инфраструктуры под управлением ОС Windows. Фреймворк был создан с целью документирования действий злоумышленников для использования в исследовательском проекте MITRE под названием FMX. Целью FMX было исследование возможности использования аналитики и телеметрии операционных систем для обнаружения злоумышленников после получения ими доступа к корпоративным сетям. Команда нападения имитировала действия атакующих внутри специальной лаборатории, а команда защиты разрабатывала аналитику для обнаружения их действий. ATT&CK использовался в качестве основы для тестирования эффективности сенсоров и аналитики в рамках FMX, а также выступал общим языком для совместной работы команд нападения и защиты.

Что такое «тактика»?

Тактика отвечает на вопрос «почему?» выполняется техника или подтехника ATT&CK. Это тактическая цель злоумышленника, причина совершения действия. Например, атакующему может быть необходимо закрепиться в системе.

Что такое «техника»?

Техника отвечает на вопрос «как?» злоумышленник достигает тактической цели, выполняя определенное действие. Например, атакующий может создать или модифицировать системный процесс чтобы закрепиться в системе.

Что такое «подтехника»?

Подтехника — это более конкретное, низкоуровневое описание действия злоумышленника. Например, атакующий может модифицировать системный сервис ОС Windows чтобы закрепиться в системе.

Что такое «процедура»?

Процедура — это конкретная реализация техники или подтехники. Например, атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу. Процедуры классифицируются в ATT&CK как варианты реализации техник, выявленные в реальных компьютерных атаках. Они перечислены на страницах с описанием техник в секции «Procedure Examples».

В чем разница между подтехникой и процедурой?

Подтехники и процедуры описывают разные вещи в ATT&CK. Подтехники используются для классификации действий, а процедуры используются для описания реализации техник в реальных компьютерных атаках. Кроме того, поскольку процедуры являются конкретными реализациями техник и подтехник, они могут включать в себя несколько дополнительных действий. Например, процедура "атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу" является реализацией техники T1112: Modify Registry и подтехники T1543.003: Create or Modify System Process: Windows Service.

К каким технологиям применим ATT&CK?

Корпоративные инфраструктуры под управлением Windows, macOS и Linux; сетевые устройства и технологии контейнерной виртуализации; облачные вычисления, такие как Инфраструктура как услуга (IaaS), Программное обеспечение как услуга (SaaS), Office 365, Azure Active Directory (Azure AD) и Google Workspace.

Устройства промышленных сетей, серверы управления, серверы архивных данных, инженерные рабочие станции, полевые контроллеры/RTU/PLC/IED, человеко-машинные интерфейсы (HMI), серверы ввода/вывода, системы противоаварийной защиты (SIS), терминалы релейной защиты и автоматики.

Мобильные устройства под управлением Android и iOS.

Как я могу использовать ATT&CK?

ATT&CK можно использовать для поддержки различных процессов обеспечения защищенности, развития архитектуры безопасности, исследования киберугроз и так далее. Обратитесь к странице Getting Started для получения информации о том, как начать использовать ATT&CK. Также ознакомьтесь с разделами Resources и Blog чтобы узнать о связанных проектах и других материалах.

О материалах

Как часто ATT&CK обновляется?

Два раза в год.

Откуда берется информация в ATT&CK?

Главными источниками данных в ATT&CK являются публично доступные отчеты об инцидентах и исследованиях киберугроз. Из них выделяются общие ТТП. Также используются публично доступные исследования новых техник, схожих с уже известными вредоносными действиями. Это необходимо поскольку новые ТТП быстро принимаются на вооружение действующими преступными группировками. Для получения дополнительной информации см. The Design and Philosophy of ATT&CK.

Как я могу внести свой вклад в ATT&CK?

Ознакомьтесь с разделом Contribute.

Пожалуйста, свяжитесь с командой ATT&CK прежде чем браться за описание новой техники/группы/программного обеспечения. То что вы хотите добавить может уже разрабатываться другими аналитиками. Так вы сможете избежать лишней работы. Ваше авторство будет отмечено в финальной версии аналитики. На текущий момент, команда наиболее заинтересована в ТТП направленных против macOS и Linux.

Почему моя "любимая" преступная группировка не включена в ATT&CK?

Команда ATT&CK старается обработать как можно больше отчетов об угрозах, но это все что удалось опубликовать на текущий момент. Если вы обладаете недостающей информацией, помогите команде и сообществу, внеся свой вклад в ATT&CK. Свяжитесь с командой чтобы узнать работают ли они над описанием этой группы. В разделе Contribute доступны рекомендации по форматированию для заявок на добавление групп и программного обеспечения.

Ресурсы

Существуют ли API, которые я могу использовать для доступа к данным ATT&CK?

Да! Ознакомьтесь со страницей Interfaces for Working with ATT&CK.

Быть в курсе

Как мне быть в курсе того, что происходит с ATT&CK?

Следите за новостями в Твиттере @MITREattack и публикациями в официальном Блоге.

За новостями на русском языке можно следить в телеграм канале русскоязычного сообщества: @attack_community_channel

ATT&CK и другие модели

Как ATT&CK соотносится с другими фреймворками и моделями?

Каждая модель и фреймворк могут решать разные задачи. Команда разработчиков описала несколько сценариев, в которых ATT&CK может быть использован для получения подробной информации о действиях злоумышленников. Большинство моделей и фреймворков комплементарны к ATT&CK, поэтому вам не обязательно выбирать что-то одно.

Какова связь между ATT&CK и Diamond Model?

ATT&CK и Diamond Model дополняют друг друга. ATT&CK подробно описывает действия злоумышленников, тогда как Diamond Model может быть использована для группировки нескольких инцидентов. Они могут использоваться вместе. Например, техники с привязкой к ATT&CK могут быть полезным источником данных для анализа возможностей атакующих посредством Diamond Model.

Какова связь между ATT&CK и Lockheed Martin Cyber Kill Chain®?

ATT&CK и Cyber Kill Chain дополняют друг друга. ATT&CK описывает действия злоумышленников более детально, в отличии от Cyber Kill Chain. Тактики ATT&CK не имеют определенной последовательности и не всегда все из них встречаются в ходе одного вторжения, поскольку тактические цели атакующего меняются на протяжении всей операции. Cyber Kill Chain, в свою очередь, предлагает упорядоченные, следующие друг за другом фазы компьютерной атаки.

Правовая информация

Как правильно упоминать название ATT&CK?

MITRE ATT&CK® и ATT&CK® являются зарегистрированными товарными знаками корпорации MITRE.

  • Ваши первые упоминания в письменной форме должны включать «MITRE» перед «ATT&CK®», а после этого следует просто использовать «ATT&CK» (символ зарегистрированного товарного знака не требуется)

    • Пример первого упоминания: MITRE ATT&CK® представляет собой официально поддерживаемую базу знаний и модель поведения злоумышленников...

    • Пример последующих упоминаний: ATT&CK помогает понять какие угрозы кибербезопасности могут представлять известные действия злоумышленников…

  • Заголовок всегда должен ссылаться на «MITRE ATT&CK» вместе (ни в коем случае не только на «ATT&CK®»)

  • Всегда используйте заглавные буквы в «ATT&CK», чтобы отделить ее от окружающего текста

  • Не изменяйте товарный знак, например, с помощью дефисов или аббревиатур. Например, "ATT&CK'd!", "Plan-of-ATT&CK", "ATTK"

  • Вы не можете использовать товарный знак ATT&CK каким-либо образом отображая принадлежность к MITRE, спонсорство или поддержку со стороны MITRE

  • Вы не можете использовать товарный знак ATT&CK каким-либо образом предполагая что материалы третьих лиц представляют взгляды и мнения MITRE или сотрудников MITRE, за исключением случаев, когда эти третьи стороны получили прямое разрешение от MITRE

  • Вы не можете использовать ATT&CK в названиях своих продуктов, услуг, товарных знаков, логотипах или названиях компаний

Где я могу скачать логотип MITRE ATT&CK?

Официальные источники:

Если вам нужен логотип MITRE ATT&CK в векторном формате, свяжитесь с командой ATT&CK.

Могу ли я использовать ATT&CK в своих продуктах и/или услугах?

Да. ATT&CK открыт и доступен любому человеку или организации для бесплатного использования. Если вы решили использовать ATT&CK, следуйте условиям использования. Если у вас есть дополнительные вопросы, свяжитесь с командой по адресу attack@mitre.org.

Помните, что вы не можете использовать MITRE ATT&CK, MITRE или ATT&CK таким образом, который предполагает одобрение какого-либо продукта или услуги. MITRE не поддерживает организации, отдельных лиц и т.д., которые используют MITRE ATT&CK в своей работе. Использование MITRE ATT&CK не означает одобрения или поддержки со стороны MITRE.

О сообществе

Мы — русскоязычные специалисты по компьютерной безопасности, использующие MITRE ATT&CK®. Распространяем знания для борьбы с угрозами кибербезопасности.

Переводили

Ресурсы и контакты

Теги:
Хабы:
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 11K
Комментарии 8
Комментарии Комментарии 8

Публикации