MITRE ATT&CK

MITRE ATT&CK представляет собой систематизированное описание методов, которые применяют злоумышленники при атаках на корпоративные сети, мобильные устройства и промышленные системы управления. Основные характеристики фреймворка:

• Организован в виде «матриц», где столбцы — это тактики (цели атакующего), а ячейки — техники (способы достижения целей)^[3].
• Охватывает три среды:
  • Enterprise — традиционные IT-сети, конечные точки, облака, контейнеры^[4];
  • Mobile — устройства на iOS и Android^[5];
  • ICS — системы промышленного контроля^[6].

Цель фреймворка — предоставить «универсальный язык» для обмена знаниями об угрозах, упрощая реагирование на инциденты и планирование защиты^[7].

Фреймворк включает две взаимодополняющие группы компонентов.

1. Типы матриц
   1. Enterprise, Mobile, ICS — описывают TTP в разных операционных средах^[8].
2. Элементы матриц
   1. Тактики — высокоуровневые цели («почему»).
   2. Техники — конкретные методы («как»).
   3. Под-техники — уточнения техник для более детального описания^[9].
3. Связанные базы знаний
   1. Groups — сведения о группировках, использующих те или иные техники.
   2. Software — инструменты и вредоносное ПО, привязанные к техникам.
   3. Mitigations — типовые меры противодействия.
   4. Detections — рекомендации по выявлению техник^[10].

В матрице ATT&CK Enterprise определены 14 тактик — этапов жизненного цикла атаки^[11].

• Reconnaissance — сбор информации о цели.
• Resource Development — подготовка инфраструктуры и инструментов.
• Initial Access — первоначальное проникновение.
• Execution — запуск кода на целевой системе.
• Persistence — сохранение доступа.
• Privilege Escalation — повышение привилегий.
• Defense Evasion — обход средств защиты.
• Credential Access — кража учётных данных.
• Discovery — изучение внутренней среды.
• Lateral Movement — боковое перемещение.
• Collection — сбор данных.
• Command and Control — управление скомпрометированными системами.
• Exfiltration — выведение данных.
• Impact — воздействие на конфиденциальность, целостность или доступность.

Техника описывает конкретный способ достижения тактики и имеет строгий формат записи:

• ID — уникальный идентификатор (Txxxx).
• Название — краткое описание приёма.
• Описание — подробности реализации.
• Связанные тактики — одна или несколько^[12].

Пример: T1059 Command and Scripting Interpreter (тактика «Execution») объединяет 12 под-техник — PowerShell, Bash, Python, Network Device CLI и др^[13].

Процедуры — это реальные наблюдаемые сценарии использования техник. Они публикуются в разделе «Procedure Examples» на странице каждой техники и могут ссылаться на:

• конкретные инструменты (например, *Mimikatz* для T1003 Credential Dumping).
• вредоносные документы.
• скрипты PowerShell, Bash и т. д^[14].

Внедрение MITRE ATT&CK в процессы информационной безопасности организации включает несколько последовательных этапов.

На этом этапе определяются цели использования ATT&CK, критичные активы, которые необходимо защищать, а также доступные источники данных для мониторинга и анализа^[15].

Проводится сбор телеметрии и анализ существующих правил обнаружения. Полученные данные сопоставляются с тактиками и техниками ATT&CK для выявления «слепых зон» в защите^[16].

На этом этапе выявленные пробелы ранжируются по степени риска для организации. Формируются приоритеты по доработке и усилению защитных мер^[17].

Внедряются и настраиваются правила для SIEM, EDR/XDR, проводится сегментация сети и реализуются другие контрмеры, ориентированные на выявленные TTP и пробелы в защите^[18].

Фреймворк и реализованные защитные меры регулярно пересматриваются и обновляются по мере появления новых техник, угроз и изменений в инфраструктуре организации^[19].

• Систематизация знаний об угрозах и единый «язык» для специалистов^[2].
• Улучшение обнаружения и сокращение времени реагирования^[20].
• Возможность моделирования атак и оценки эффективности защиты^[18].

• Большой объём данных затрудняет приоритизацию для начинающих команд^[16].
• Не содержит готовых инструкций обнаружения — требуется собственная разработка правил^[21].
• Полное покрытие известных техник не гарантирует защиту от неизвестных TTP^[22].

Фреймворк востребован в различных отраслях:

• Финансовый сектор — противодействие мошенничеству и APT-группировкам^[23].
• Государственные учреждения — защита критической информации и кибершпионаж^[17].
• Критическая инфраструктура (ICS) — оценка рисков для промышленных объектов^[6].
• Телекоммуникации, здравоохранение, реклама и розница — анализ целевых атак и настройка средств защиты^[24].

• MITRE ATT&CK Navigator — визуализация и создание слоёв матрицы^[25].
• MITRE Caldera — автоматизированная эмуляция противника.
• ATT&CK Workbench — локальное расширение базы знаний.
• Atomic Red Team — библиотека воспроизводимых тестов.
• CISA Decider
• OpenCTI
• TRAM — инструменты сопоставления и аналитики^[25].

Коммерческие решения:

• AttackIQ — симуляция атак (BAS) для оценки защиты^[26].
• SOAR-платформы (Swimlane, Splunk SOAR) используют ATT&CK-теги в плейбуках автоматизации^[27].
• Red Canary MDR
• другие XDR/SIEM-решения отображают оповещения в контексте матрицы.

• Аналитические отчёты о TTP актуальных группировок.
• Фиды угроз с привязкой индикаторов к техникам ATT&CK.
• Услуги раннего оповещения и атрибуции атак, применяющие общую таксономию.
• Обучающие и консалтинговые программы (например, MITRE ATT&CK Defender)^[28].

Фреймворк активно встраивается в:

• SIEM — тегирование правил корреляции и тепловые карты покрытия^[29].
• SOAR — автоматические плейбуки реагирования по выявленным техникам^[27].
• EDR/XDR — классификация телеметрии конечных точек в терминах ATT&CK^[4].
• TIP — обогащение индикаторов компрометации сведениями о TTP.
• IRP — унификация описаний инцидентов и выбор плейбуков на основе стадий атаки^[30].