Все поведения, а также относящиеся к ним сущности и признаки — это и есть фреймворк.
Его ключевой и центральной сущностью является техника или отдельное поведение.
Группы этих поведений категорированы (объединены) в тактики.
2. Тактика — это признак техники.Тактика — это признак (свойство, характерная особенность) техники, который отвечает на единственный и очень важный вопрос — с какой целью эта техника может быть применена. У техники есть много других признаков, есть связи с другими сущностями (например, Mitigations) от которых можно построить точно такие же "матрицы", которые подсветят нам отношения между двумя (и только) классами понятий, но не раскроют суть фреймворка.
3. Тактика — это признак техники в момент наблюдения.Фреймворк предоставляет нам информацию по атомарным вредоносным поведениям (техникам), предоставляя нам возможность вне зависимости от любых факторов (помимо описанных во фреймворке, напр необходимости спец привилегий) обозначить возможную мотивацию (или мотивации, тк их может быть несколько) атакующего для применения техники в данный момент времени, на момент обнаружения. Составление цепочек действий не входит в определения фреймворка.
Фреймворку все равно какой раз (первый/второй/третий/десятый) встречается поведение, похожее на "Initial Access" или любую другую тактику. Наблюдаете некое поведение и можете смапить его на технику фреймворка? Круто! Вот что вы за это получите (
для этой техники):
- человеческое описание
- примерные причины для чего оно могло быть использовано (одну и более тактик)
- меры защиты
- методы обнаружения
- реальные кейсы где оно встречалось
- ссылки на доп материалы
- и тд
Тактика не скажет какой раз оно использовалось, куда атака идет, откуда пришла, и насколько она может быть критична в конкретной ситуации. Потому что фреймворк предоставляет описание отдельных поведений и их признаков.
4. Все отношения и зависимости между сущностями (классами сущностей) фреймворка однозначно определены и известны.Исходный код фреймврка представлен в файлике
[4] на 300к линий (20Мб) в формате STIX в официальном репо
[5] на GitHub. В нем все — каждая сущность, каждое отношение, детально описано все, что поддается систематизации существующими правилами фреймворка.
Из этого файла формируется официальный вебсайт ATT&CK, с его помощью работает ATT&CK Navigator и тд. Если бы этапность была предусмотрена, она вне всяких сомнений была бы описана в данном документе.
***
Навязывание дополнительных отношений (последовательности) между сущностями противоречит архитектуре фреймворка, потому что рождает дополнительную сложность, которую фреймворк не предусматривает.
Принципы для определения последовательности, критичности, направления и источника атаки формируются командами отдельно от фреймворка.
Это определение происходит на других уровнях абстракции, с учетом множества текущих и предшествующих явлений/факторов.
Когда дело доходит до практики, реализации конкретных защитных мер, обучения специалистов и тд, — позиционирование тактики как этапа является некорректным и вредным для понимания реальной сущности фреймворка, а значит — эффективности его применения. Матрица с тактиками и техниками — это удобный способ представления для введения в топик, общения с руководством или неискушенной публикой, обсуждения высокоуровневых тем, но не более.
🙏 Еще раз попрошу вас 🙏
Пожалуйста, если вы хотите доказать или опровергнуть логику которая распространяется на фреймворк — опирайтесь на официальный гайд
[3], логику которая распространяется на все тактики или какие-то иные материалы, которые доказывали бы ваши слова с позиции его задач и архитектуры 🙏
[1]
https://t.me/attack_community/2744[2] Данная диаграмма находится на странице 17 в разделе 3.8 "ATT&CK Object Model Relationships" документа MITRE ATT&CK: Design and Philosophy
[3][3]
https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf[4]
https://raw.githubusercontent.com/mitre/cti/master/enterprise-attack/enterprise-attack.json[5]
https://github.com/mitre/cti
