 |
В чем заключается идея MITRE ATT&CK™
Тактики, техники и процедуры (ТТП), представленные в ATT&CK, позволяют организациям по всему миру понять, как действуют реальные злоумышленники. Ведь как только возникает понимание того, кто и как вам противостоит — становится понятно, какие меры вы можете принять для устранения возможной угрозы вторжения.
В конечном итоге ATT&CK имеет непосредственное отношение к управлению рисками.
Цикл снижения рисков
ATT&CK в действии
На конференции MITRE ATT&CKcon 2.0 одни из лидеров отрасли ИБ из компании Nationwhide представили доклад об анализе угроз с использованием преимуществ ATT&CK системы. Они описали процесс от использования большой матрицы ATT&CK и сведения её к максимально сокращённому виду для ее более ситуативного применения, позволяющего закрыть наиболее релевантные их окружению векторы атаки.
Одним из важных аспектов ATT&CK является то, что данные доступны для всех. Используя коллективную базу отчетов, мы можем иметь представление о структуре матрицы. По состоянию на январь 2020 года она включала порядка 266 техник, на которые так или иначе ссылались 449 групп и инструментов. Карта предприятий MITRE ATT&CK (октябрь 2019)
Данная матрица нам явно показывает, что техника удаленного копирования файлов использовалась в 42% из всех упоминаемых групп и инструментов, и действительно, это очень популярная техника, которая широко используется при проведении атак, проводимых различными преступными группировками, включая APT3 и ATP38, а также в таких, ставших легендарными атаках, как Shamoon и WannaCry, и это лишь малая часть из них.
Оценка MITRE ATT&CK
В 2019 году MITRE приступило к оценке вендоров систем безопасности, используя эти техники для измерения способности разрабатываемых решений обнаружить и отследить действия злоумышленников. Первая оценка была основана на атаке APT3 и включала многие инструменты и техники из карты, приведенной выше. В итоге, как вы могли догадаться, было выполнено удалённое копирование файла. Во время оценки MITRE скопировала DLL библиотеку на удаленную систему (как это делает вредоносная программа Petya). Между тем часть производителей смогли лишь косвенно указать на это действие, в то же самое время благодаря решению MVISION EDR компания McAfee была одним из двух производителей, которые показали оповещение типа «Specific Behavior» для этого действия. Оповещение данного типа относится к категории наиболее точных и детальных (описание категорий обнаружения доступно по ссылке).
Итоги
Умение распознать конкретные действия злоумышленника является ключевым моментом в понимании рисков, с которыми сталкивается организация. Вооружившись этой информацией, можно принять ответные меры, разработать и внедрить план реагирования, чтобы предотвратить атаки в будущем.
MITRE ATT&CK — большой шаг вперед, позволяющий организациям понимать риски и впоследствии управлять ими.
Контактное лицо: Баранхеева Александра
Компания: McAfee
Добавлен: 17:17, 23.03.2020
Количество просмотров: 486
Страна: Россия
«ДиалогНаука» и Xello: итоги участия в CISO FORUM 2025, АО ДиалогНаука, 22:27, 23.04.2025, Россия80 |
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы класса DDP, приняли участие в CISO FORUM 2025. Мероприятие состоялось 10 апреля 2025 года в Loft Hall в Москве и вызвало большой интерес профессионального сообщества. |
«ДиалогНаука» совместно с Xello участвует в CISO FORUM 2025, АО ДиалогНаука, 20:42, 09.04.2025, Россия99 |
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и компания Xello, разработчик первой российской платформы класса DDP, совместно участвуют в Межотраслевом Форуме «CISO FORUM 2025». Мероприятие пройдет 10 апреля 2025 года в Loft Hall в Москве. |
«ДиалогНаука» участвует в конференции «Цифровая устойчивость промышленных систем», ДиалогНаука, 21:14, 26.02.2025, Россия262 |
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, участвует в ежегодной конференции «Цифровая устойчивость промышленных систем» (ЦУПС-2025). Мероприятие пройдет 27–28 февраля 2025 года в Москве в Центре событий РБК. «ДиалогНаука» представит экспозицию, посвященную собственным услугам в области информационной безопасности, а также решениям «Лаборатории Касперского». |
«ДиалогНаука» и Вебмониторэкс заключили соглашение о сотрудничестве, ДиалогНаука, 17:08, 20.02.2025, Россия199 |
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и Вебмониторэкс, российский разработчик платформы для защиты веб-приложений, микросервисов и API от атак, заключили договор о партнерстве. Одним из основных направлений в рамках партнерства будет использование решения «ПроWAF» в рамках комплексных проектов для корпоративных заказчиков интегратора. |
«ДиалогНаука» – участник Уральского форума «Кибербезопасность в финансах», ДиалогНаука, 17:35, 20.02.2025, Россия178 |
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, примет участие в Уральском форуме «Кибербезопасность в финансах», который пройдет 19–21 февраля 2025 года в конгресс-центре МТС Life Холл в Екатеринбурге. Эксперт «ДиалогНауки» выступит докладчиком в тематическом блоке «Кибераудит в эпоху цифровизации». |
STEP LOGIC внедрил Kaspersky SD-WAN в сети крупного холдинга, STEP LOGIC, 17:27, 20.02.2025, Россия148 |
STEP LOGIC завершил проект по внедрению SD-WAN от «Лаборатории Касперского» в инфраструктуру крупного российского холдинга. Благодаря решению заказчик объединил филиалы в единую защищенную сеть и сократил сроки запуска новых ИТ-сервисов. |
«ДиалогНаука» и AppSec Solutions заключили соглашение о сотрудничестве, ДиалогНаука, 13:28, 19.02.2025, Россия185 |
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и AppSec Solutions, российский разработчик решений в области DevSecOps, подписали соглашение о сотрудничестве. Интегратор будет использовать решения AppSec Solutions в рамках комплексных проектов для корпоративных заказчиков. |
«ДиалогНаука» подтвердила свой статус Approved Scanning Vendor, АО ДиалогНаука, 04:06, 17.11.2024, Россия338 |
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, подтвердила свой статус Approved Scanning Vendor (ASV) по стандарту безопасности данных в индустрии платежных карт PCI DSS. Интегратор успешно выполнил все требования программы PCI Scanning Vendor Program. |
«ДиалогНаука» включила в продуктовый портфель ИБ-решения вендора НОТА, АО ДиалогНаука, 04:21, 11.11.2024, Россия757 |
Компания «ДиалогНаука», системный интегратор в области информационной безопасности, и НОТА (Холдинг Т1) мультипродуктовый вендор отечественного ПО, заключили соглашение о сотрудничестве. Одним из основных направлений партнерства станет поставка и использование решения «НОТА КУПОЛ. Управление» в рамках комплексных проектов для корпоративных заказчиков интегратора. |
|
 |