Состоялся релиз восьмой версии базы знаний MITRE ATT&CK

Некоммерческая организация MITRE выпустила новую, восьмую, версию своего фреймворка MITRE ATT&CK. Среди прочих нововведений – интеграция матрицы PRE-ATT&CK с матрицей Enterprise ATT&CK. Домен PRE-ATT&CK был удален из ATT&CK, а в Enterprise появились две новые тактики – Reconnaissance (разведка) и Resource Development (разработка ресурсов).

Как и в случае с подметодами, реализованными в седьмой версии MITRE ATT&CK в прошлом июле, описанные выше нововведения разрабатывались на протяжении некоторого времени.

По словам разработчиков фреймворка, когда матрица Enterprise ATT&CK была запущена впервые, в ней были представлены только сведения о техниках, используемых киберпреступниками уже после проникновения в корпоративную среду (от фазы Exploit до Maintain в MITRE Cyber Attack Lifecycle). Это хорошо согласуется с видимостью многих защитников сетей организаций, но не дает представления о действиях противника до компрометации.

После первого запуска ATT&CK отдельная команда MITRE решила заполнить этот пробел, следуя структуре Enterprise ATT&CK и перечислив техники злоумышленников, в итоге приводящие к компрометации. Так в 2017 году появилась матрица PRE-ATT&CK.

Хотя ИБ-сообщество с радостью приняло PRE-ATT&CK, она не получила такой же популярности и вкладов, как Enterprise ATT&CK. С другой стороны, в течение нескольких лет ряд организации жаловались на то, что в Enterprise ATT&CK собраны техники киберпреступников, применяемые уже после взлома, и это удерживало их от использования матрицы. В связи с этим в 2018 году разработчики MITRE начали процесс интеграции PRE-ATT&CK с Enterprise ATT&CK.

Enterprise ATT&CK в MITRE ATT&CK v8 получила две секции:

1. Разведка – сосредоточена на противнике, пытающемся собрать информацию, которую он может использовать для планирования будущих операций, включая методы активного и пассивного сбора данных.
2. Разработка ресурсов – ориентирована на злоумышленника, пытающегося установить ресурсы, которые он может использовать для проведения вредоносных операций, включая методы, предполагающие создание, покупку или компрометацию/кражу ресурсов.