Любой Топ10 техник злоумышленников — это всегда палка о двух концах. С одной стороны ты можешь приоритизировать свои усилия по защите, проверить, покрываются ли нужные источники телеметрии средствами мониторинга, проверить защитные меры. А с другой — ты можешь стать заложником этого Топа, забыв про контроль других техник, которые для тебя могут быть более актуальными и релевантными. Но если понимать обратную сторону любого Топа, то ими можно пользоваться вполне себе во благо.
С точки зрения мониторинга ИБ и составления/обновления списка сценариев (use case) всегда возникает вопрос, а что мне надо отслеживать, на что настраивать мои средства защиты? Топ10 техник MITRE ATT&CK в этом вопросе может помочь и поэтому я попробовал найти такие списки у ИБ-компаний. Пока ни Mandiant, ни Group-IB, ни Kaspersky не опубликовали свои отчеты с итогами ушедшего года с точки зрения использованных злоумышленниками техник и тактик. Но есть традиционный отчет от Red Canary, в котором приведен свой Топ10:
У почти неизвестной в России компании Picus Security (вендор BAS) свой, но очень похожий на RedCanary, Топ10:
Если сравнить эти топы, то можно увидеть, что они примерно на 80% совпадают между собой, что может служить неким доказательством того, что эти компании (если, конечно, не рассматривать конспирологическую версию о связи этих двух компаний или копировании перечня одной компанией у другой) действительно получили список т(и|о)повых техник, от которых надо защищаться в первую очередь и на базе которого можно формировать свои use case для SOCа или используемого инструментария (SIEM, XDR и т.п.). Этот же список может быть использован для проверки используемых услуг аутсорсингового SOC (как один из возможных критериев). Отсутствие у него соответствующих сценариев не значит, что все плохо, но тогда он должен будет обосновать, почему он не мониторит топовые техники по версии ряда компаний.
Я специально смаппил техники RedCanary и Picus Security в техники ФСТЭК, чтобы можно было обновить и свои модели угроз, которые многие должны регулярно пересматривать ввиду появления новых угроз или методов злоумышленников. Не знаю, какова процедура обновления будет в новой редакции методики оценки угроз, которую ФСТЭК обещала обновить в первом квартале этого года, но пока мы должны следовать версии от 5-го февраля 2021 года.
ЗЫ. По мере появления других отчетов с итогами 2021-го года буду обновлять эту заметку, но не думаю, что у других компаний список техник MITRE ATT&CK сильно изменится.