Матрица ATT&CK для описания всех возможных методок атак

Угрозы
Продолжая начатую вчера тему убийственной цепочки, хотел бы привести пример еще одной интересной классификации, которая имеет более практическое применение и может быть использована при моделировании угроз, при котором так важна систематизация имеющейся информации о методах, используемых злоумышленниками. Речь идет о матрице ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), разработанной американской корпорацией MITRE, известной своими стандартами CVE, CAPEC, TAXII и другими. Данная матрица не заменяет Kill Chain, а всего лишь уточняет, что скрывается за последними тремя этапами убийственной цепочки.

В последней версии, вышедшей в июля 2016-го года, три последних стадии атаки делятся на 10 тактик, используемых злоумышленниками:

  • живучесть
  • повышение привилегий
  • обход защитных мер
  • доступ к учетным записям
  • обнаружение
  • lateral movement (не знаю как перевести нормально на русский)
  • исполнение
  • сбор
  • утечка
  • управление и контроль.
Указанные 10 тактик тетализируются в 121 технике, которые и перечислены в матрице, фрагмент которой показан ниже. Для многих техник даны ссылки на базу шаблонов атак CAPEC, которую разработала таже MITRE. Каждая техника описана подробно в формате wiki — с примерами, перекрестными ссылками, дополнительной информацией.

Технике в матрице очень разные и требуют очень разной квалификации для своей реализации. Где-то достаточно обычного перебора паролей, где-то описывается буткит, а где-то говорится об использовании самописного алгоритма шифрования для скрытия активности злоумышленника.

Предназначение матрицы — помочь специалистам по безопасности понять все многообразие методов, которые могут использоваться злоумышленииками. О чем-то специалисты знают, о чем-то имеют представление, а о чем-то даже и не слышали. Задача матрицы взглянуть на то, как злоумышленник могут атаковать информационные системы, по новому. Вкупе с пониманием убийственной цепочки эта задача существенно облегчается. 

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    lateral movement = 360* analysis = рыскание, круговой осмотр

    Ответить
  2. Алексей Лукацкий

    Спасибо

    Ответить