Масштабы атак продолжают стремительно расти, однако наряду с этим ростом возникает сложная задача отслеживания тактик, техник и процедур (TTPs), используемых различными злоумышленниками («акторами»). Лаборатория информационных технологий CSRC (Computer Security Resource Center) Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST) разделяет поведение злоумышленников на уровни тактик, техник и процедур. Отслеживание такого поведения стало основополагающей концепцией для специалистов по анализу киберугроз. Классификация и документирование тактик, техник и процедур злоумышленников позволяет специалистам по информационной безопасности лучше понять их поведение и принципы организации конкретных атак и, следовательно, подготовиться к эффективному реагированию и отражению текущих и будущих угроз.
Определение тактик, техник и процедур (TTPs)
Тактика в аббревиатуре TTP означает обобщенное описание поведения или действий злоумышленника. Например, первоначальный доступ — это тактика, которую будет использовать злоумышленник для проникновения в сеть.
Техника — это подробное описание ожидаемого поведения или действий для конкретной тактики. Например, техника получения первоначального доступа к сети может предполагать фишинговую атаку.
Процедура — это технические подробности или способы использования злоумышленником выбранной техники для достижения своей цели. Например, процедуры для фишинговой атаки будут включать в себя порядок проведения или этапы кампании. К ним будут относиться сбор сведений об инфраструктуре для отправки вредоносного электронного письма, выбор целевых пользователей и планирование способов проникновения на их компьютеры.
К сожалению, отслеживание поведения злоумышленников всегда было сложной задачей, во многом из-за отсутствия единого, повсеместно применяемого, стандартизированного подхода, которого можно было бы придерживаться. Показательный пример приводила компания Radware в первом выпуске справочника Hacker's Almanac, когда одна и та же группа злоумышленников была известна под множеством имен в зависимости от организации из сферы безопасности, раскрывшей и описавшей кибератаку: APT10 (раскрыта компанией Mandiant) также упоминается как menuPass (раскрыта компанией Fireeye), Stone Panda (раскрыта компанией Crowdstrike) или Red Apollo, Cloud Hopper и POTASSIUM (раскрыты корпорацией Microsoft). Такая ситуация чрезвычайно осложняет процесс обсуждения, документирования и информирования о действующих злоумышленниках или группировках.
К счастью, за последние несколько лет в отрасли началось повсеместное внедрение платформы MITRE ATT&CK для корпоративной среды, которая призвана обеспечить стандартизацию и содержит каталог тактик, техник и процедур (TTPs), используемых злоумышленниками, а также их имена и псевдонимы.