Сравнение техник и тактик нарушителей из методики ФСТЭК и матриц MITRE ATT&CK

Как вы, наверное, знаете, новая методика моделирования угроз ФСТЭК России сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик.

Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются. Параллельно с этим существуют мировые лучшие практики по структурированию действий нарушителей кибербезопасности и самая популярная из них – матрица MITRE ATT&CK и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты.

Как применить MITRE ATT&CK на практике хорошо рассказал Алексей Лукацкий на недавнем вебинаре

Но что, если мы хотим взаимоувязать моделирование угроз по методике ФСТЭК России и анализ по матрицам MITRE?

Я вижу следующие возможные варианты интеграции этих двух каталогов:

·        Провести анализ актуальных техник и тактик и контрмер полностью по матрицам MITRE, а потом в модели угроз заменить их на наиболее подходящие техники и тактики из каталогов ФСТЭК.  

·        Провести анализ изначально по методике ФСТЭК, определить актуальные техники и тактики из каталогов ФСТЭК и дополнить их техниками и тактиками из матрицы MITRE (какие то особенные техники, которых нет у ФСТЭК)

·        Провести анализ угроз только по методике ФСТЭК, но при выборе контрмер использовать имеющиеся у MITRE рекомендации по обнаружению и блокированию конкретных техник и тактик.

В сообществе давно говорят о необходимости установления соответствия между этими двумя каталогами, но пока никто не опубликовал ничего подобного.

Как амбассадор ИБ решил первым опубликовать такой анализ в своем втором блоге. Где это было возможно – определены соответствующие друг другу техники из каталогов ФСТЭК и MITRE.


Таблицы соответствия доступны на просмотр всем желающим. Вы можете использовать его в рамках своей текущей работы сравнивая ваши анализ с моим. Сделал небольшой видеообзор получившейся аналитики.

Если по каким-то причинам вам необходимы исходники (таблицы соответствия или доступ к онлайн базе знаний) то эта возможность будет доступна моим подписчикам на patreon или boosty.





Комментариев нет:

Отправить комментарий