Главная » Блоги Экспертов И ИТ-Компаний » Визуализация и выводы сравнения техник и тактик MITRE ATT&CK и FST&CK
Возможность размещать посты на проекте остановлена

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.

Визуализация и выводы сравнения техник и тактик MITRE ATT&CK и FST&CK

Для тех, кто проводит работы по анализу соответствия техник и тактик из разных каталогов, визуализация зачастую позволяет быстро, одним взглядом увидеть интересные закономерности и сделать полезные выводы.

В сравнении исходим из предпосылки что база MITRE более подробная, чаще обновляется, содержит более современные техники поэтому с большей вероятность её надо брать за эталон и смотреть чего не хватает в каталогах техник и тактик ФСТЭК.

Тактик не так много, и поэтому для сравнения вполне подошла обычная таблица.

%25D1%2581%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BD%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5%2B%25D1%2582%25D0%25B0%25D0%25BA%25D1%2582%25D0%25B8%25D0%25BA.png

Основные выводы:

  • Исходя из анализа типовых действий нарушителей в базе MITRE предлагается на более поздний этапе рассматривать тактику ТА0011 Command and Control
  • Аналоги для трех тактик отсутствуют в каталоге ФСТЭК, поэтому целесообразно их добавлять
  • Тактика Т9 из каталога ФСТЭК включает сразу 2 тактики MITRE. В матрице MITRE техники на этих двух этапах различаются достаточно сильно, как и способы детектирования их. Целесообразно также разделить в каталоге ФСТЭК

Для анализа соответствия техник лучше всего подошла диаграмма Sankey. Она получилась очень большая, но позволяет увидеть все необходимое на одной картинке.

%25D1%2581%25D1%2580%25D0%25B0%25D0%25B2%25D0%25BD%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B5%2B%25D1%2582%25D0%25B5%25D1%2585%25D0%25BD%25D0%25B8%25D0%25BA.png

Основные выводы:

  • Все техники из матрицы MITRE достаточно узкие – каждой из них соответствует в основном 1 техника из каталога ФСТЭК
  • Многие техники (Т1.1, Т4.1, Т4.4, Т4.6, Т5.10, Т6.1, Т6.4, Т6.7, Т7.1, Т7.4, Т7.10, Т7.13, Т7.27) из каталога ФСТЭК “крупные” (сформулированы слишком общо) и включают в себя от 10 до 65 техник из матрицы MITRE каждая. “Крупные” техники сложнее обрабатывать – сложнее подбирать точные контрмеры и способы обнаружения.
  • Пришлось дополнить техники из каталога ФСТЭК как минимум 39-ю дополнительными техниками, для того чтобы перекрыть все техники из матрицы MITRE
  • 58 техник из каталога ФСТЭК не имеют аналогов в основной матрице MITRE ATT&CK – они либо рассматривают действия нарушителей в другой нестандартной плоскости, либо связаны с АСУТП (а для этого есть отдельный каталог техник MITRE ICS) либо связаны с каким-то национальными особенностями кибератак (Т1.13 Сбор информации через получение доступа к системам физической безопасности и видеонаблюдения, Т1.17 Сбор информации через получение контроля над личными устройствами сотрудников для скрытой прослушки и видеофиксации)
Материалы в редактируемом виде и хорошем качестве доступны для подписчиков на порталах https://www.patreon.com/sborisov и https://boosty.to/proib/
Блог Сергея Борисова sborisov.blogspot.com


Источник: https://sborisov.blogspot.com/2021/08/mitre-att-fst.html


Данный материал является частной записью члена сообщества Club.CNews.
Редакция CNews не несет ответственности за его содержание.
1 год назад | тэги: MITRE, ФСТЭК, подписка, тактики, техники
Комментарии
Другие публикации
RU, Краснодар
https://sborisov.blogspot.com/ , https://www.ussc.ru/
Информационные технологии



Забыли пароль?

Редакция CNews готова принять пресс-релизы компаний на адрес news@cnews.ru.

Приглашаем вас делиться комментариями о материалах CNews на наших страницах платформ Facebook, Telegram и Twitter.