MITRE ATT&CK расшифровывается как MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). Платформа MITRE ATT&CK представляет собой тщательно подобранную базу знаний и модель поведения киберпреступника, отражающую различные этапы жизненного цикла атаки злоумышленника и платформы, на которые он, как известно, нацелен. Абстракция тактики и методов в модели обеспечивает общую классификацию отдельных действий злоумышленника, понимаемых как наступательными, так и оборонительными сторонами кибербезопасности. Он также обеспечивает соответствующий уровень категоризации действий противника и конкретных способов защиты от него.
Ключевые термины ATT&CK
Прежде чем углубляться в матрицу, важно понять, как MITRE ATT&CK определяет тактику, методы и процедуры, поскольку эти термины могут иметь другое значение в других контекстах.
- Тактики - описывают непосредственные технические цели, которых пытаются достичь злоумышленники, такие как получение начального доступа, поддержание постоянства или установление командования и контроля.
- Методы(или техники) - методы, которые злоумышленники используют для достижения тактики. Все тактики в каждой матрице имеют несколько техник. Матрица разбивает некоторые методы на методы. Примером этого является метод фишинга, который злоумышленники используют для получения начального доступа(тактика). Три связанных подтехники фишинга: Целевой фишинг вложений, Целевой фишинг по ссылке и Целевой фишинг через службу.
- Процедуры - описывают конкретные реализации тех методов и подметодов, которые использовали APT (иногда умными или новыми способами), или это может относиться к конкретным вредоносным программам или другим инструментам, которые использовали злоумышленники.
Что входит в матрицу MITRE ATT&CK?
Матрица MITRE ATT&CK содержит набор методов, используемых злоумышленниками для достижения конкретной цели. Эти цели классифицируются как тактики в матрице ATT&CK. Цели представлены линейно от точки разведки до конечной цели эксфильтрации или воздействия. Глядя на самую широкую версию ATT&CK для предприятия, которая включает Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, сеть и контейнеры, можно выделить следующие тактики злоумышленников:
- Разведка(Reconnaissance) - сбор информации для планирования будущих операций противника, например сбор информации о целевой организации.
- Разработка ресурсов(Resource Development) - создание ресурсов для поддержки операций, например создание инфраструктуры управления и контроля(С2).
- Первоначальный доступ(Initial Access) - попытка проникнуть в сеть, например целевой фишинг.
- Исполнение(Execution) - попытка запуска вредоносного кода, например запуск инструмента удаленного доступа.
- Постоянство(Persistence) - попытка удержать свои точки опоры, например изменение конфигурации.
- Повышение привилегий(Privilege Escalation) - попытка получить разрешения более высокого уровня, например использование уязвимости для повышения уровня доступа.
- Обход защиты(Defense Evasion) - попытка избежать обнаружения, то есть использование доверенных процессов для сокрытия вредоносных программ.
- Доступ к учетным данным(Credential Access) - кража имен учетных записей и паролей, например кейлоггинг.
- Обнаружение(Discovery) - попытка выяснить окружение, то есть изучение того, что можно контролировать.
- Боковое перемещение(Lateral Movement) - перемещение по среде, например использование законных учетных данных для перемещения через несколько систем.