MITRE ATT&CK (MITRE ATT&CK)

Введение

MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) – открытая база знаний, разработанная некоммерческой организацией MITRE Corporation, содержащая детальные описания тактик, техник и процедур (TTP), применяемых реальными киберпреступниками и APT-группировками. Знания структурированы в виде матрицы, где по горизонтали – тактики (стадии атаки), по вертикали – техники (конкретные методы их реализации).

ATT&CK впервые опубликован в 2015 году на основе анализа реальных атак. Сегодня он стал де-факто стандартным языком для описания угроз в SOC, Red Team, Threat Intelligence и Threat Hunting.

История и контекст

MITRE начал разработку ATT&CK в 2013 году для документирования TTPs угрозы APT3 (Gothic Panda). В 2015 году матрица опубликована публично; с тех пор MITRE обновляет её каждые полгода на основе анализа публичных отчётов ИБ-компаний, утечек инструментария и данных CERT. Сегодня ATT&CK содержит более 200 техник и 400+ подтехник для Enterprise-среды (Windows, macOS, Linux), а также отдельные матрицы для Mobile и ICS (промышленных систем).

Структура MITRE ATT&CK Enterprise (2024)

Матрица Enterprise включает 14 тактик:

1. Reconnaissance – разведка.
2. Resource Development – подготовка инфраструктуры.
3. Initial Access – первоначальный доступ (фишинг, exploit публичных сервисов).
4. Execution – выполнение кода.
5. Persistence – закрепление в системе.
6. Privilege Escalation – повышение привилегий.
7. Defense Evasion – обход средств защиты.
8. Credential Access – кража учётных данных.
9. Discovery – разведка внутри сети.
10. Lateral Movement – горизонтальное перемещение.
11. Collection – сбор данных.
12. Command and Control – управление и контроль (C2).
13. Exfiltration – вывод данных.
14. Impact – деструктивное воздействие.

Где применяется

• SOC-аналитика – маппинг алертов SIEM на техники ATT&CK для приоритизации реагирования.
• Red Team – планирование учений на основе TTP конкретных APT-группировок.
• Threat Hunting – поиск признаков конкретных техник в инфраструктуре.
• Gap Analysis – оценка покрытия детектирующих правил по матрице ATT&CK.
• Vendor Selection – оценка, какие техники покрывает то или иное средство защиты.

Преимущества и ограничения

ATT&CK создал единый язык для всей отрасли ИБ; обогащает алерты контекстом; помогает приоритизировать защиту. Ограничения: охватывает преимущественно постэксплуатационные техники; маппинг требует экспертизы; обновления не всегда успевают за новейшими угрозами.

Связь с другими понятиями

ATT&CK дополняет и детализирует Kill Chain Lockheed Martin. Используется для структурирования Threat Intelligence и IoC. Применяется при планировании Red Team и Pentest.