От техник и тактик угроз к мерам обнаружения и защиты. Как сопоставить первое со вторым?

От техник и тактик угроз к мерам обнаружения и защиты. Как сопоставить первое со вторым?

Читая методику оценки угроз ФСТЭК, собственно как и матрицу MITRE ATT&CK, понимаешь, что делается это все не просто так, а для какой-то цели (вот новость-то). И целью этой является выработка защитных мер, которые позволят нам противодейстовать выбранным нами как актуальными техникам и тактикам нарушителей. Еще во время появления первых документов ФСТЭК в 2013-м году многие эксперты задавались вопросом, а как увязать защитные меры с моделью угроз. У ФСТЭК пока нет ответа на этот вопрос, а вот у MITRE есть. Ему я и посвящу данную заметку.

В фреймворк MITRE ATT&CK помимо техник и тактик входит еще один блок - защитных мер (mitigations), которые увязаны с блокируемыми ими техниками и тактиками.


Таким образом, выбрав актуальные для вас техники и тактики, можно перейти к мерам, которые позволяют их нейтрализовать. На текущий момент фреймворк MITRE ATT&CK содержит 42 защитные меры (для мобильных устройств еще 13 защитных мер), среди которых шифрование важных данных, антивирус, контроль сетевого доступа, управление привилегированными учетными записями, обновление ПО, программа Threat Intelligence и т.п. Среди 42-х мер (вот он ответ на главный вопрос жизни, вселенной и всего такого) есть и такая "не надо блокировать", в описании которой сказано, что реализация защитной меры может повлечь рост риска компрометации: а значит нейтрализация не рекомендуется (сейчас техник, для которых эта рекомендация дана, всего две).


Для многих техник и тактик в матрице указаны не только защитные меры, но и источники данных, которые позволяют их детектировать с помощью различных технологий - от XDR и SIEM до антивирусов и средств контроля целостности файлов и ПО.


В итоге, если объединить блок защитных мер с блоком источников данных мы получим возможность бороться со всеми почти 400 техниками, которые описаны в текущей версии MITRE ATT&CK. Этого тоже пока не хватает подходу ФСТЭК, у которого из всего "фреймворка" есть пока только перечень техник и тактик. Поэтому-то я и ратую за то, чтобы ФСТЭК прекратила заниматься самодеятельностью и унифицировала нумерацию своих техник и тактик с тем, что есть у MITRE. В этом случае даже при отсутствии времени и ресурсов на разработку полного собственного фреймворка можно было бы использовать уже имеющиеся наработки от MITRE.  


Самое интересное, что 42 защитные меры от MITRE ATT&CK могут быть смаппированы в различные иные защитные фреймворки - ISO 27001/27002, NIST CSF и CIS Controls. Например, вот так этом может выглядеть для последнего фреймворка.  

В защитные меры из приказов ФСТЭК тоже можно смаппировать, но про это в другой раз.

Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.