Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы.
В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не хватает в каталогах техник и тактик ФСТЭК.
Тактик не так много, и поэтому для сравнения вполне подошла обычная таблица.
Основные выводы:
- Исходя из анализа типовых действий нарушителей в базе MITRE предлагается на более поздний этапе рассматривать тактику ТА0011 Command and Control
- Аналоги для трех тактик отсутствуют в каталоге ФСТЭК, поэтому целесообразно их добавлять
- Тактика Т9 из каталога ФСТЭК включает сразу 2 тактики MITRE. В матрице MITRE техники на этих двух этапах различаются достаточно сильно, как и способы детектирования их. Целесообразно также разделить в каталоге ФСТЭК
Для анализа соответствия техник лучше всего подошла диаграмма Sankey. Она получилась очень большая, но позволяет увидеть все необходимое на одной картинке.
Основные выводы:
- Все техники из матрицы MITRE достаточно узкие – каждой из них соответствует в основном 1 техника из каталога ФСТЭК
- Многие техники (Т1.1, Т4.1, Т4.4, Т4.6, Т5.10, Т6.1, Т6.4, Т6.7, Т7.1, Т7.4, Т7.10, Т7.13, Т7.27) из каталога ФСТЭК “крупные” (сформулированы слишком общо) и включают в себя от 10 до 65 техник из матрицы MITRE каждая. “Крупные” техники сложнее обрабатывать – сложнее подбирать точные контрмеры и способы обнаружения.
- Пришлось дополнить техники из каталога ФСТЭК как минимум 39-ю дополнительными техниками, для того чтобы перекрыть все техники из матрицы MITRE
- 58 техник из каталога ФСТЭК не имеют аналогов в основной матрице MITRE ATT&CK – они либо рассматривают действия нарушителей в другой нестандартной плоскости, либо связаны с АСУТП (а для этого есть отдельный каталог техник MITRE ICS) либо связаны с каким-то национальными особенностями кибератак (Т1.13 Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения, Т1.17 Сбор информации через получение контроля над личными устройствами сотрудников для скрытой прослушки и видеофиксации)
Материалы в редактируемом виде и хорошем качестве доступны для подписчиков на порталах https://www.patreon.com/sborisov и https://boosty.to/proib/
Комментариев нет:
Отправить комментарий