Понимание поведения злоумышленника становится все более важным в кибербезопасности. Существует два подхода к организации знаний о поведении злоумышленников — CAPEC и ATT&CK, каждый из которых ориентирован на определенный набор вариантов использования.

Common Attack Pattern Enumeration and Classification (CAPEC)

CAPEC сосредоточен на безопасности приложений и описывает общие атрибуты и методы, используемые злоумышленниками для использования известных слабых мест в возможностях с поддержкой кибербезопасности. (например, SQL-инъекция, XSS, фиксация сеанса, кликджекинг).

• Фокусируется на безопасности приложений
• Перечисляет эксплойты против уязвимых систем
• Включает в себя социальную инженерию/цепочку поставок
• Связан с общим перечислением слабых сторон (CWE - Common Weakness Enumeration)

Adversarial Tactics, Techniques & Common Knowledge (ATT&CK)

ATT&CK ориентирован на защиту сети и описывает этапы жизненного цикла злоумышленника до и после использования (например, постоянство, боковое перемещение, эксфильтрация) и подробно описывает конкретные тактики, методы и процедуры (TTP), которые продвигают постоянные угрозы (APT) используют для достижения своих целей при нацеливании, компрометации и работе внутри сети.

• Фокусируется на защите сети
• Основывается на данных об угрозах и исследованиях красной команды
• Обеспечивает контекстуальное понимание злонамеренного поведения
• Поддерживает тестирование и анализ вариантов защиты

Как CAPEC и ATT&CK связанны между собой?

Многие шаблоны атак, перечисленные CAPEC, используются злоумышленниками с помощью специальных методов, описанных ATT&CK. Это позволяет контекстуально понимать модели атак в рамках жизненного цикла злоумышленника. Шаблоны атак CAPEC и связанные с ними методы ATT&CK при необходимости даются перекрестными ссылками между двумя усилиями.

Как понять, когда использовать CAPEC или ATT&CK?