Обновление базы знаний MITRE ATT&CK: что нового?

В июле организация The MITRE Corporation опубликовала изменение в дизайне матрицы MITRE ATT@CK – грануляцию техник с использованием подтехник.
Эксперты Angara Professional Assistance (входит в группу компаний Angara) напоминают, что:

• Тактики классифицируют цели злоумышленников, которые они пытаются получить.
• Техники классифицируют поведение злоумышленников и механизмы их действий для достижения этих целей.
• Процедуры классифицируют конкретные варианты использования техники.
• Подтехники – это фактически уточнения или разновидности основной техники, куда они входят. При этом они не так специфичны как процедуры, которые являются уже вариантом использования в боевых условиях описываемой техники (in-the-wild use of techniques). Все подтехники одной категории имеют идентичную структуру (description, detection, mitigation, data sources etc.). Например, AppleScript, PowerShell и другие подтехники использования скриптов и исполняемых команд теперь объединены в общую технику «Command and Scripting Interpreter» и являются ее подкатегориями. На всех страницах групп и ПО добавлен соответствующий мэппинг.
  

Данный вариант матрицы давно назрел и готовился экспертами почти год. В октябре 2019 матрица включала уже 266 техник (Enterprise techniques) разного уровня гранулированности. Подобные варианты концепций объединения техник реализовывались отдельными участниками комьюнити. Таким образом, теперь матрица имеет 156 основных техник и 272 подкатегории, что делает ее более структурированной и удобной к прочтению и обработке. Но потребует некоторой обработки нового формата.
Кстати, дополнительно в текущей версии изменений убраны термины «black/white» и заменены на «allow/deny» (или «application control» вместо «whitelisting»).
Механизмы перехода на новую матрицу для разных форматов использования (STIX, TAXII) описаны в блоге организации.