К чему этот исторический экскурс? 0-Day существовали, существуют и будут существовать всегда. Все равно ни рядовой, ни корпоративный пользователь ничего не может с этим поделать — это прерогатива производителя, который в меру своих знаний и ресурсов оперативно устранит обнаруженную проблему; или не устранит. Устранив один 0-Day, появится второй, потом третий… Это гонка бесконечна. Постоянно появляется что-то новое, что может помочь злоумышленнику заразить ваши компьютеры. То есть 4-й этап Kill Chain может случиться все равно. Но вот техники, используемые злоумышленниками после заражения и компрометации, практически не меняются. Вспомним матрицу ATT&CK — она очень хорошо это иллюстрирует. И поэтому с точки зрения обеспечения кибербезопасности разумнее было бы сфокусироваться на том, что мы можем обнаружить и блокировать.
А для этого необходимо то, что на Западе емко называют TTP (tactics, techniques, and procedures), то есть тактика, техники и процедуры злоумышленников. Но важно не просто понимать, что могут сделать плохие парни; важно знать, что этому противопоставить каждой технике. Просто знать о том, что можно сломать сетевое оборудование через буткит мало — гораздо важнее с точки зрения кибербезопасности знать, что этому можно противопоставить. Без этой информации рассказы о том, как сломать, — это не более чем помощь настоящим злоумышленникам. Пользы в этом и уж тем более развития ИБ нет. Скорее наоборот. Такая информация способствует росту киберпреступности. Поэтому описанная ранее матрица ATT&CK связана с шаблонами атак CAPEC и для каждой техники предложен набор защитных мер. Это позволяет быстро понять, как выстроить систему защиту, а не только подивиться хитрому мозговыверту злоумышленников, которые нашли очередной способ обойти защитные механизмы вендора, даже несмотря на внедренный SDLC.
