Что такое MITRE ATT&CK и какую роль играет в области кибербезопасности

С ростом угроз в сфере информационной безопасности все большее значение приобретает понимание тактик, методов и процедур, используемых злоумышленниками для осуществления кибератак. Поэтому особое значение приобретает MITRE ATT&CK. Рассказываем, что собой представляет матрица MITRE ATT&CK и какую роль она играет в выстраивании процессов информационной безопасности. 

Что такое MITRE ATT&CK и почему это важно для специалистов

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это база знаний о тактиках, методах и процедурах, используемых злоумышленниками в ходе кибератак. Она представляет собой обширный набор информации о методах вторжения, тактиках и инструментах, используемых злонамеренными лицами при атаках на информационные системы.

Роль MITRE ATT&CK в области кибербезопасности заключается в том, что она помогает организациям лучше понять типичные тактики и методы, используемые злоумышленниками. Это позволяет им улучшить свои стратегии защиты, обнаружения и реагирования на киберугрозы.

Основные категории тактик в рамках MITRE ATT&CK включают в себя захват футеров, исполнение кода, обход обнаружения, распространение, коммуникации и многие другие. Каждая тактика содержит конкретные методы и процедуры, которые могут использоваться злоумышленниками для достижения своих целей.

Использование MITRE ATT&CK позволяет специалистам по кибербезопасности лучше понимать угрозы, с которыми сталкиваются их информационные системы, и разрабатывать более точные и эффективные методы защиты от атак.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

Применение матрицы MITRE для защиты своих информационных ресурсов — хорошая идея. Однако надо помнить о том что матрица — это как кулинарный рецепт. А вот как правильно приготовить блюдо — это уже зависит от шеф-повара. В нашем случае от специалистов по информационной безопасности. В самом начале надо каталогизировать все свои информационные ресурсы, определить степень их важности и критичности. Далее, необходимо определить точки входа в вашу информационную инфраструктуру и уже от этого начать смотреть, что и где может быть применено хакером при взломе. Сначала защищаем точки входа и минимизируем поверхность атаки. Затем особое внимание надо уделить защите узлов в кратчайшем пути от точек входа до критически важных сервисов. Затем внимание по защите должно быть перенесено на остальные узлы сети. Сложность возникает в том, что если сеть разветвленная, узлов и сервисов много, то и вариантов защиты становится много. Поэтому на уровне инфраструктуры надо стремиться к комплексной защите всех узлов.

Mitre — одна из наиболее часто обновляемых и полных баз данных. Ее использование для построения собственной аналитики поможет компании и специалистам ИБ сократить время поиска паттернов (компрометации) и отработке TTP из MITRE что в свою очередь повысит уровень ИБ организации. Зная, какие техники и тактики может использовать злоумышленник, специалисты по ИБ могут вовремя предпринять соответствующие шаги для обеспечения надежной защиты информационных систем.

Никита Черняков

Руководитель отдела развития облачных технологий и сервисов Axoft

Навык использования базы знаний MITRE ATT&CK, несомненно, полезный для ИБ специалистов. Он позволяет в первую очередь систематизировать знания о цепочке тактик, применяемых злоумышленниками в ходе совершения атаки, используемых техниках и субтехниках, отслеживать эволюцию существующих и появление новых. Все это позволяет выстраивать эффективную или, как сейчас принято говорить, результативную систему информационной безопасности.

Изучения базы MITRE ATT&CK дает специалистам по ИБ инструменты, необходимые для разработки эффективной стратегии защиты и противодействия киберугрозам. Это помогает защитить информационные системы и данные от несанкционированного доступа, повышая общую безопасность организации.

Преимущества использования MITRE ATT&CK

Главное преимущество использования MITRE ATT&CK — существенное сокращение время реакции на угрозы при построении аналитики. Благодаря матрице, специалисты постороят аналитику быстрее за счет наличия схожей информации по инциденту из Митры. А значит, в итоге смогут быстрее определить тип атаки и принять соответствующие меры.

Александр Зубриков

Генеральный директор ITGLOBAL.COM Security

Для правильного и эффективного использования фреймворков по ИБ, таких как MITRE ATT&CK или MITRE D3FEND, необходимо четкое понимание, что и от чего нужно защищать. Подбор подходящих тактик и техник осуществляется на основе анализа ИТ-инфраструктуры организации и ключевых активов, которые требуют защиты. Необходимо оценить потенциальные угрозы и сценарии атак, которые реалистичны для организации. Это может включать инвентаризацию и идентификацию используемых технологий, векторов атак, которым они могут подвергаться, и уровня ценности данных и сервисов. Также важно определить цели безопасности, например, соблюдение определенных стандартов или нормативов. На основе этих данных можно отфильтровать и выбрать наиболее релевантные тактики и техники из модели MITRE ATT&CK, которые можно применить для укрепления обороны и детектирования угроз.

Но не стоит забывать, что в Майтре все максимально обобщенно. Поэтому в своей инфраструктуре службам ИБ необходимо отрабатывать ТТП самостоятельно для поиска дополнительных индикаторов компрометации и улучшения аналитики.

В общем смысле MITRE ATT&CK — это образовательная шпаргалка по ТТП, которые нужно изучить. И специалистам по ИБ нужно понимать, как с ней работать и подбирать подходящие тактики и техники из MITRE ATT&CK для конкретной IT-структуры и целей безопасности.

Кай Михайлов

Руководитель направления информационной безопасности iTPROTECT

Матрица MITRE ATT&CK содержит 3 основных раздела: Enterprise, Mobile и ICS (промышленные системы). Нужно выбрать подходящий раздел, например, Enterprise и последовательно изучить содержимое столбцов, которые определяют техники злоумышленников. Из каждого столбца требуется выбрать только те техники, которые могут быть актуальны для инфраструктуры, а остальное пропускается. Например, в тактике Execution есть техника Container Administration Command, но если в инфраструктуре не используется контейнеризация, эта техника не актуальна. Аналогичным образом происходит подбор остальных техник.

Перспективы MITRE ATT&CK в будущем

Перспективы MITRE ATT&CK в будущем очень обнадеживающие. Все больше и больше организаций и индустрий осознают необходимость применения тактик, техник и процедур (TTP) при киберзащите. Некоторые крупные компании уже активно используют MITRE ATT&CK в своей работе.

Жан Максим Джабиа

Пентестер Awillix

MITRE ATT&CK в последнее время используется всё чаще, чему сопутствуют развивающиеся соседние области информационных технологий. А именно: непрерывное развитие искусственного интеллекта и IoT, повсеместное применение облачных технологий, эволюция кибератак на физические системы и развитие стандартов безопасности. Всё это позволит MITRE ATT&CK выйти на новый уровень развития и популярности.

В будущем можно ожидать расширения базы MITRE ATT&CK за счет периодического пополненияю. Это поможет охватить больше методов атак и новых инструментов злоумышленников. 

Андрей Шабалин

Специалист по анализу данных NGR Softlab

База знаний MITRE формируется в первую очередь экспертным сообществом, поэтому и отличается весьма высоким уровнем «отзывчивости» к различного рода возникающим трендам. Яркий пример – развитие смежного с ATT&CK продукта MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems), в котором ИБ-сообщество постоянно обновляет базу и формирует актуальный ландшафт угроз для ИИ-систем. Ведь интерес киберпреступников к компрометации больших языковых моделей растет вместе с популярностью и широким распространением LLM.

Развитие MITRE будет связано с дальнейшей проработкой техник злоумышленников, направленных на машинное обучение и искусственный интеллект, возможно также развитие «облачного направления» и увеличение базы знаний о защите интернета вещей.

В целом, использование MITRE ATT&CK будет продолжать расти, так как эта база знаний предоставляет ценную информацию для кибераналитики и помогает организациям более эффективно защищать себя от современных киберугроз.

Как повысить эффективность использования MITRE ATT&CK в компании

Для повышения эффективности использования MITRE ATT&CK в компании, в первую очередь стоит оценить текущий уровень зрелости безопасности, чтобы понять, какие аспекты требуют внимания и улучшения.

Следующий шаг — создание единой системы для обнаружения и реагирования на атаки. Матрица должна быть интегрирована во все процессы безопасности компании, включая мониторинг, обнаружение, анализ инцидентов, управление угрозами и т. д. 

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

Для эффективного использования MITRE ATT&CK в первую очередь нужно стараться покрыть наиболее актуальные техники и подтехники. Очень важно быть защищенными сначала от реальных злоумышленников, потом уже от потенциально используемых техник. Например, тех, которыми пользуются пентестеры, а уже потом от всего остального. Именно так и нужно расставлять приоритеты, чтобы выстроить эффективную защиту.

Отдельную роль в эффективности использования Mitre Attack играет обучение персонала, а также автоматизация анализа и обнаружения атак на основе базы знаний.

Резюме

MITRE ATT&CK — важная и развивающаяся база знаний в сфере кибербезопасности. Использование матрицы позволяет организациям улучшить свою киберзащиту, понимая тактики, методы и процессы атак, а также создавая необходимые контрмеры. Благодаря непрерывному обновлению и расширению, база знаний остается актуальным и надежным инструментом для анализа, обучения и разработки стратегий защиты. А компании за счет использования MITRE ATT&CK могут повысить уровень своей кибербезопасности и успешно противостоять современным угрозам в сфере ИБ.