Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы.

В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не хватает в каталогах техник и тактик ФСТЭК.

Тактик не так много, и поэтому для сравнения вполне подошла обычная таблица.

Основные выводы:

• Исходя из анализа типовых действий нарушителей в базе MITRE предлагается на более поздний этапе рассматривать тактику ТА0011 Command and Control
• Аналоги для трех тактик отсутствуют в каталоге ФСТЭК, поэтому целесообразно их добавлять
• Тактика Т9 из каталога ФСТЭК включает сразу 2 тактики MITRE. В матрице MITRE техники на этих двух этапах различаются достаточно сильно, как и способы детектирования их. Целесообразно также разделить в каталоге ФСТЭК

Для анализа соответствия техник лучше всего подошла диаграмма Sankey. Она получилась очень большая, но позволяет увидеть все необходимое на одной картинке.

Основные выводы:

• Все техники из матрицы MITRE достаточно узкие – каждой из них соответствует в основном 1 техника из каталога ФСТЭК
• Многие техники (Т1.1, Т4.1, Т4.4, Т4.6, Т5.10, Т6.1, Т6.4, Т6.7, Т7.1, Т7.4, Т7.10, Т7.13, Т7.27) из каталога ФСТЭК “крупные” (сформулированы слишком общо) и включают в себя от 10 до 65 техник из матрицы MITRE каждая. “Крупные” техники сложнее обрабатывать – сложнее подбирать точные контрмеры и способы обнаружения.
• Пришлось дополнить техники из каталога ФСТЭК как минимум 39-ю дополнительными техниками, для того чтобы перекрыть все техники из матрицы MITRE
• 58 техник из каталога ФСТЭК не имеют аналогов в основной матрице MITRE ATT&CK – они либо рассматривают действия нарушителей в другой нестандартной плоскости, либо связаны с АСУТП (а для этого есть отдельный каталог техник MITRE ICS) либо связаны с каким-то национальными особенностями кибератак (Т1.13 Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения, Т1.17 Сбор информации через получение контроля над личными устройствами сотрудников для скрытой прослушки и видеофиксации)

Как вы, наверное, знаете, новая методика моделирования угроз ФСТЭК России сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик.

Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются. Параллельно с этим существуют мировые лучшие практики по структурированию действий нарушителей кибербезопасности и самая популярная из них – матрица MITRE ATT&CK и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты.

Как применить MITRE ATT&CK на практике хорошо рассказал Алексей Лукацкий на недавнем вебинаре

Но что, если мы хотим взаимоувязать моделирование угроз по методике ФСТЭК России и анализ по матрицам MITRE?

Я вижу следующие возможные варианты интеграции этих двух каталогов:

·        Провести анализ актуальных техник и тактик и контрмер полностью по матрицам MITRE, а потом в модели угроз заменить их на наиболее подходящие техники и тактики из каталогов ФСТЭК.  

·        Провести анализ изначально по методике ФСТЭК, определить актуальные техники и тактики из каталогов ФСТЭК и дополнить их техниками и тактиками из матрицы MITRE (какие то особенные техники, которых нет у ФСТЭК)

·        Провести анализ угроз только по методике ФСТЭК, но при выборе контрмер использовать имеющиеся у MITRE рекомендации по обнаружению и блокированию конкретных техник и тактик.

В сообществе давно говорят о необходимости установления соответствия между этими двумя каталогами, но пока никто не опубликовал ничего подобного.

Как амбассадор ИБ решил первым опубликовать такой анализ в своем втором блоге. Где это было возможно – определены соответствующие друг другу техники из каталогов ФСТЭК и MITRE.

Таблицы соответствия доступны на просмотр всем желающим. Вы можете использовать его в рамках своей текущей работы сравнивая ваши анализ с моим. Сделал небольшой видеообзор получившейся аналитики.

Если по каким-то причинам вам необходимы исходники (таблицы соответствия или доступ к онлайн базе знаний) то эта возможность будет доступна моим подписчикам на patreon или boosty.