
Тактики, техники и процедуры (ТТП), представленные в ATT&CK, позволяют организациям по всему миру понять, как действуют реальные злоумышленники. Ведь как только возникает понимание того, кто и как вам противостоит — становится понятно, какие меры вы можете принять для устранения возможной угрозы вторжения.
В конечном итоге ATT&CK имеет непосредственное отношение к управле
ATT&CK в действии
На конференции MITRE ATT&CKcon 2.0 одни из лидеров отрасли ИБ из компании Nationwhide представили доклад об анализе угроз с использованием преимуществ ATT&CK системы. Они описали процесс от использования большой матрицы ATT&CK и сведения её к максимально сокращённому виду для ее более ситуативного применения, позволяющего закрыть наиболее релевантные их окружению векторы атаки.
Одним из важных аспектов ATT&CK является то, что данные доступны для всех. Используя коллективную базу отчетов, мы можем иметь представление о структуре матрицы. По состоянию на январь 2020 года она включала порядка 266 техник, на которые так или иначе ссылались 449 групп и инструментов.
Данная матрица нам явно показывает, что техника удаленного копирования файлов использовалась в 42% из всех упоминаемых групп и инструментов, и действительно, это очень популярная техника, которая широко используется при проведении атак, проводимых различными преступными группировками, включая APT3 и ATP38, а также в таких, ставших легендарными атаках, как Shamoon и WannaCry, и это лишь малая часть из них.
Оценка MITRE ATT&CK
В 2019 году MITRE приступило к оценке вендоров систем безопасности, используя эти техники для измерения способности разрабатываемых решений обнаружить и отследить действия злоумышленников. Первая оценка была основана на атаке APT3 и включала многие инструменты и техники из карты, приведенной выше. В итоге, как вы могли догадаться, было выполнено удалённое копирование файла. Во время оценки MITRE скопировала DLL библиотеку на удаленную систему (как это делает вредоносная программа Petya). Между тем часть производителей смогли лишь косвенно указать на это действие, в то же самое время благодаря решению MVISION EDR компания McAfee была одним из двух производителей, которые показали оповещение типа «Specific Behavior» для этого действия. Оповещение данного типа относится к категории наиболее точных и детальных (описание категорий обнаружения доступно по ссылке).
Итоги
Умение распознать конкретные действия злоумышленника является ключевым моментом в понимании рисков, с которыми сталкивается организация. Вооружившись этой информацией, можно принять ответные меры, разработать и внедрить план реагирования, чтобы предотвратить атаки в будущем.
MITRE ATT&CK — большой шаг вперед, позволяющий организациям понимать риски и впоследствии управлять ими.
Никто пока не комментировал эту страницу.
Стандартом установлено, что ссылаться можно на сторонний документ в целом, его разделы и приложения, а ссылаться на подразделы, пункты, таблицы и рисунки стороннего документа не допускается (см. Сноска).
В тексте документа можно ссылаться на подразделы, пункты, таблицы и рисунка данного документа.
Специальные правила установлены стандартом [2] и для ссылочных нормативных документов.
Структурный элемент библиография предписано размещать в конце текстового документа, перед листом регистрации изменений, и включать его в раздел содержание.
Про два других вида ссылок никаких рекомендаций в [2] не содержится, поэтому целесообразно установить единые правила расположение ссылочных нормативных документов и ссылочных документов в приложениях к текстовому документу, не ограничиваясь фразой «Материал, дополняющий текст документа, допускается оформлять в виде приложений»
См. Ссылки и сноски
Литература
1 ГОСТ Р 2.005-2023. ЕСКД. Термины и определения
2 ГОСТ Р 2.105-2019. ЕСКД. Общие требования к текстовым документам
3 ГОСТ 7.32 -2017. Отчет о научно-исследовательской работе
4 Ссылки и сноски // [Электронный ресурс], режим доступа:
https://energoboard.ru/post/7758/ (485 просмотров с 01 .08.2023 по 07.07.2026 или 485/1072 = 0,45 просмотра в день)
5 Ссылочные документы // [Электронный ресурс], режим доступа:
https://energoboard.ru/post/7741/ (1831 просмотр с 26.07.2023 по 07.07.2026 или 1831/1040 = 1, 76 просмотра в день)
8 ГОСТ Р 2. 2005-2023, ЕСКД. Термины и опредления
Кроме этого, правила учета и хранения документов должны быть едиными для конструкторских, программных, технологических и других документов, поэтому следует выпустить вместо двух стандартов
ГОСТ 19.603-78 и ГОСТ.503-78 единый стандарт, распространяющийся на все существующие системы документов.
Перечень литературы дополнен стандартом ГОСТ 19.603-78:
Литература
1 ГОСТ Р 2.105-2019. ЕСКД. Общие требования к текстовым документам.
2 ГОСТ 2.503-2013. ЕСКД. Правила внесения изменений.
3 ГОСТ 3.1103-2011. ЕСТД. Основные надписи
4 ГОСТ 2.004-88. ЕСКД. Общие требования к выполнению конструкторских и технологических документов на печатающих и графических устройствах вывода ЭВМ.
5. ГОСТ 2.501-201. ЕСКД. Правила учета и хранения.
6 ГОСТ 19.603-78. ЕСПД. Общие правила внесения изменений
6 Лист регистрации изменений // [Электронный ресурс], режим доступа: https://www.olgezaharov.narod.ru/2023/august/LR.htm
7 Лист регистрации изменений // [Электронный ресурс], режим доступа: https://energoboard.ru/post/7779/ (673 просмотра с 07.08.2023 по 08.07.2026 - 673/1066 = 0, 63 просмотра в день)