27.10.16

Матрица ATT&CK для описания всех возможных методок атак

Продолжая начатую вчера тему убийственной цепочки, хотел бы привести пример еще одной интересной классификации, которая имеет более практическое применение и может быть использована при моделировании угроз, при котором так важна систематизация имеющейся информации о методах, используемых злоумышленниками. Речь идет о матрице ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), разработанной американской корпорацией MITRE, известной своими стандартами CVE, CAPEC, TAXII и другими. Данная матрица не заменяет Kill Chain, а всего лишь уточняет, что скрывается за последними тремя этапами убийственной цепочки.


В последней версии, вышедшей в июля 2016-го года, три последних стадии атаки делятся на 10 тактик, используемых злоумышленниками:

  • живучесть
  • повышение привилегий
  • обход защитных мер
  • доступ к учетным записям
  • обнаружение
  • lateral movement (не знаю как перевести нормально на русский)
  • исполнение
  • сбор
  • утечка
  • управление и контроль.
Указанные 10 тактик тетализируются в 121 технике, которые и перечислены в матрице, фрагмент которой показан ниже. Для многих техник даны ссылки на базу шаблонов атак CAPEC, которую разработала таже MITRE. Каждая техника описана подробно в формате wiki - с примерами, перекрестными ссылками, дополнительной информацией.



Технике в матрице очень разные и требуют очень разной квалификации для своей реализации. Где-то достаточно обычного перебора паролей, где-то описывается буткит, а где-то говорится об использовании самописного алгоритма шифрования для скрытия активности злоумышленника.

Предназначение матрицы - помочь специалистам по безопасности понять все многообразие методов, которые могут использоваться злоумышленииками. О чем-то специалисты знают, о чем-то имеют представление, а о чем-то даже и не слышали. Задача матрицы взглянуть на то, как злоумышленник могут атаковать информационные системы, по новому. Вкупе с пониманием убийственной цепочки эта задача существенно облегчается. 

1 коммент.:

Unknown комментирует...

lateral movement = 360* analysis = рыскание, круговой осмотр