Визуализация и выводы сравнения техник и тактик MITRE ATT&CK и FST&CK

Визуализация и выводы сравнения техник и тактик MITRE ATT&CK и FST&CK

Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы.

В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не хватает в каталогах техник и тактик ФСТЭК.

Тактик не так много, и поэтому для сравнения вполне подошла обычная таблица.

Основные выводы:

  • Исходя из анализа типовых действий нарушителей в базе MITRE предлагается на более поздний этапе рассматривать тактику ТА0011 Command and Control
  • Аналоги для трех тактик отсутствуют в каталоге ФСТЭК, поэтому целесообразно их добавлять
  • Тактика Т9 из каталога ФСТЭК включает сразу 2 тактики MITRE. В матрице MITRE техники на этих двух этапах различаются достаточно сильно, как и способы детектирования их. Целесообразно также разделить в каталоге ФСТЭК

Для анализа соответствия техник лучше всего подошла диаграмма Sankey. Она получилась очень большая, но позволяет увидеть все необходимое на одной картинке.

Основные выводы:

  • Все техники из матрицы MITRE достаточно узкие – каждой из них соответствует в основном 1 техника из каталога ФСТЭК
  • Многие техники (Т1.1, Т4.1, Т4.4, Т4.6, Т5.10, Т6.1, Т6.4, Т6.7, Т7.1, Т7.4, Т7.10, Т7.13, Т7.27) из каталога ФСТЭК “крупные” (сформулированы слишком общо) и включают в себя от 10 до 65 техник из матрицы MITRE каждая. “Крупные” техники сложнее обрабатывать – сложнее подбирать точные контрмеры и способы обнаружения.
  • Пришлось дополнить техники из каталога ФСТЭК как минимум 39-ю дополнительными техниками, для того чтобы перекрыть все техники из матрицы MITRE
  • 58 техник из каталога ФСТЭК не имеют аналогов в основной матрице MITRE ATT&CK – они либо рассматривают действия нарушителей в другой нестандартной плоскости, либо связаны с АСУТП (а для этого есть отдельный каталог техник MITRE ICS) либо связаны с каким-то национальными особенностями кибератак (Т1.13 Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения, Т1.17 Сбор информации через получение контроля над личными устройствами сотрудников для скрытой прослушки и видеофиксации)

Материалы в редактируемом виде и хорошем качестве доступны для подписчиков на порталах  https://www.patreon.com/sborisov  и  https://boosty.to/proib/


Alt text

В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!