MITRE объединила PRE-ATT&CK и Enterprise ATT&CK в новой версии ATT&CK

MITRE объединила PRE-ATT&CK и Enterprise ATT&CK в новой версии ATT&CK

Состоялся релиз восьмой версии базы знаний MITRE ATT&CK.

image

Некоммерческая организация MITRE выпустила новую, восьмую, версию своего фреймворка MITRE ATT&CK. Среди прочих нововведений – интеграция матрицы PRE-ATT&CK с матрицей Enterprise ATT&CK. Домен PRE-ATT&CK был удален из ATT&CK, а в Enterprise появились две новые тактики – Reconnaissance (разведка) и Resource Development (разработка ресурсов). Как и в случае с подметодами, реализованными в седьмой версии MITRE ATT&CK в прошлом июле, описанные выше нововведения разрабатывались на протяжении некоторого времени.

По словам разработчиков фреймворка, когда матрица Enterprise ATT&CK была запущена впервые, в ней были представлены только сведения о техниках, используемых киберпреступниками уже после проникновения в корпоративную среду (от фазы Exploit до Maintain в MITRE Cyber Attack Lifecycle). Это хорошо согласуется с видимостью многих защитников сетей организаций, но не дает представления о действиях противника до компрометации.

После первого запуска ATT&CK отдельная команда MITRE решила заполнить этот пробел, следуя структуре Enterprise ATT&CK и перечислив техники злоумышленников, в итоге приводящие к компрометации. Так в 2017 году появилась матрица PRE-ATT&CK.

Хотя ИБ-сообщество с радостью приняло PRE-ATT&CK, она не получила такой же популярности и вкладов, как Enterprise ATT&CK. С другой стороны, в течение нескольких лет ряд организации жаловались на то, что в Enterprise ATT&CK собраны техники киберпреступников, применяемые уже после взлома, и это удерживало их от использования матрицы. В связи с этим в 2018 году разработчики MITRE начали процесс интеграции PRE-ATT&CK с Enterprise ATT&CK.

Enterprise ATT&CK в MITRE ATT&CK v8 получила две секции:

  1. Разведка – сосредоточена на противнике, пытающемся собрать информацию, которую он может использовать для планирования будущих операций, включая методы активного и пассивного сбора данных.

  2. Разработка ресурсов – ориентирована на злоумышленника, пытающегося установить ресурсы, которые он может использовать для проведения вредоносных операций, включая методы, предполагающие создание, покупку или компрометацию/кражу ресурсов.

Скачать новую версию MITRE ATT&CK можно на сайте организации, в ATT&CK Navigator , в качестве STIX , и через сервер TAXII .

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.