10 December 2021
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
OM
Olga Mosk Ольга Моск 28.11.2021 13:06:58
У слова «первоначальный» одно из значений «начальный этап», подходит по сути. Еще между словами «первичный» и «первоначальный» может быть такое различие: первичный — первый по значению, первоначальный — первый во временной последовательности. Что тоже говорит в пользу «первоначального». Кроме того, это слово однокоренное слову «начало».
У слова «первичный» как будто еще есть семантика «что-то временное», что-то, что поменяется. Например, как временный пароль, который нужно сменить. А здесь это не подходит, ведь доступ остается.
11:56
OM
Olga Mosk Ольга Моск 28.11.2021 18:27:31
Начальный и первоначальный действительно очень близки.

Если говорить о переводе отдельно взятых слов, что первоначальный лучше соответствует: кембриджский словарь как первый вариант перевода initial дает «первоначальный»; и в обратную сторону это тоже работает: если смотреть слово «первоначальный», то первым вариантом словарь дает initial.
При этом если смотреть в русско-англ словаре «начальный», то initial не в начале, опережают такие слова, как first и elementary.

И вот как раз пара начальный—elementary заставляет задуматься. Мне кажется, дело в том, что в слове «начальный» больше значения «простой, элементарный», а в «первоначальном» больше значения «этапности».
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 28.11.2021 18:34:54
Если упереться в кол-во букв, то "первоначальный" выглядит громоздко.

А если рассмотреть аргумент @olchmosk про этапность, то в "начальный" этой "этапности" как будто меньше вкладывается
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
$
$t3v3;0) Степан Богачев 28.11.2021 18:40:51
Давайте я свою точку зрения коротко. Ибо устал за выходные.
Начальный - что-то что можно следом повторить, поменять тактику и т.д. «начально», «вначале»
Первоначальный - в данном контексте (да и в других тоже для меня) - самый первый и скорее «единственный», «неповторимый» с точки зрения изменения и тд. Т.е. то что дало результат в самом начале и больше не меняется. Да, мы можем потом передумать, узнать о чем-то больше и выбрать более эффективный вариант (в данном случае - доступа). Но в контексте - это именно то, что было сделано с успешным выполнением для последующих действий (возможно изменения доступа).
Кроме того, речь идёт про конкретную инфру/компанию/вотевер и тут начальных может быть уже много - к каждой системе в инфре, а первоначальный - он такой один.
Засим на сегодня я откланиваюсь
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
JZ
J ZDLN Евгений Зудилин 29.11.2021 10:02:11
Выскажу, пожалуй, свои соображения на счет разницы между "начальный" и "первоначальный":
Первоначальный [доступ] содержит в себе, как упоминалось выше, "этапность", т.е. в начале атакующий получает "первый" доступ, а при продвижении внутри сети/периметра "второй" доступ [например, к хостам внутри сети, для которых уже он будет начальным/первым]. Для всей же "цепочки" атаки начальным можно условно считать доступ к данным атакуемой организации (а-ля разведка/рекогносцировка), для которого в последствии не предполагается "второго этапа" доступа, поэтому больше буков здесь используется не с проста.
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
y
yugoslavskiy Даниил Югославский 30.11.2021 02:17:51
Мы видим что «этапности» в исходном слове “Initial” не прослеживается, поэтому, вероятно, речь идет о логике которая распространяется на все тактики. В см, необходимость отражения «этапности».

Давайте раскроем эту необходимость (:

Как вы думаете, является ли оно требованием фреймворка для названия тактик? Прослеживается ли это требование при анализе названий тактик? Являются ли тактики (в соответствии с парадигмой ATT&CK, а также с позиции самого процесса взлома) - этапами, из которых в последствии образуется (опционально) цепочки?

Мне кажется, что на каждый вопрос можно убедительно ответить «нет».

Буду рад услышать ваши доводы (:
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 30.11.2021 21:53:42
Дополню, что тактики они же про последовательные шаги со стороны злоумышленника. Слева направо. От разведки до непосредственного влияния на инфраструктуру
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
OM
Olga Mosk Ольга Моск 30.11.2021 23:07:33
Да, поддержу
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
PS
Paul Smith Павел Кузнецов 30.11.2021 23:16:00
Внезапно поспорю частично :)
11:56
Exfiltration может являться, и часто является, Impact'ом (-:
11:56
А многие тактики могут вообще быть пропущенными, или перемешиваться в процессе осознания атакующим своего положения в инфраструктуре и необходимых средств достижения целей (-:
11:56
То есть это именно что матрица, а не линейный путь к цели
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 01.12.2021 05:53:43
Я не говорил, что все столбцы непременно должны быть обязательными)
Их составили, чтобы показать на каком этапе что может происходить, но эти этапы в хронологическом порядке расположены. В килчейне 7 этапов выделили и там тоже прослеживается последовательность.
В ATT&CK Получение первоначального доступа стоит перед Закреплением в инфраструктуре, потому что нельзя сначала закрепиться, а потом получить первоначальный доступ к этой самой инфраструктуре.
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 01.12.2021 06:02:13
А в случае "перемешивания в процессе осознания" это можно рассматривать как частный случай?
Когда злоумышленник собрал со всех шар, до которых смог дотянуться, данные, а потом пошёл повышать привилегии, например
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
PS
Paul Smith Павел Кузнецов 01.12.2021 08:05:34
Точно так же может быть частным случаем и "последовательное" движение же - ну вот повезло атакующему и всё как в учебнике по-очереди и единожды
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 01.12.2021 08:14:44
А зачем тогда в учебнике расположили именно в такой последовательности?
11:56
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 01.12.2021 08:15:43
Какая цель, если местоположение тактик не играет никакой роли
11:56
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 01.12.2021 08:16:13
Расставили бы по алфавиту, например
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
PS
Paul Smith Павел Кузнецов 01.12.2021 08:17:50
Я не говорил, что не играет вообще :) я оппонирую возможности применения этого аргумента конкретно в обсуждении этой тактики :)
11:56
Да - логика расположения тактик была примерно пошаговая, от а до д, ровно как в идеальном случае в учебнике
Нет - обсуждение перевода слова initial тут совершенно ни при чём, важно исключительно то, как I.A. дальше чаще всего сшивается с другими тактиками
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 01.12.2021 08:21:58
Обсуждение перевода initial свелось в конечном итоге к ответу на вопрос зачем нам вообще этапность и надо ли её учитывать)
А т.к в ATT&CK "логика расположения была примерно пошаговая", значит учитывать вроде как надо
11:56
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 01.12.2021 08:22:13
Или я не умею в логические выводы совсем 🙈
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
PS
Paul Smith Павел Кузнецов 01.12.2021 08:24:06
Мы, мне кажется, просто фехтуем формулировками об одном и том же, будучи на самом деле примерно согласными друг с другом :)
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 01.12.2021 08:24:29
У меня такое чувство уже пару дней :D
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
JZ
J ZDLN Евгений Зудилин 01.12.2021 08:29:48
Как вариант, подобная "пошаговая" схема была выбрана, чтобы "защищающиеся" могли определить для себя приоритеты, т.е. при необходимости направить свои силы на устранение наиболее критичных рисков (например, сначала на предотвращение Impact или Exfiltration, а потом на Lateral Movement и Credential Access, т.е. в обратной последовательности). Итог: последовательность расположения тактик не принципиальна, но помогает (облегчает визуально) определить порядок действий при ограниченности ресурсов/сроков.
А про то, что порядок реализации/использования тактик в реальной жизни (in the wild) может быть любым -все понимают одинаково, спору нет.
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
JZ
J ZDLN Евгений Зудилин 01.12.2021 08:33:17
Небольшое дополнение: в обратной последовательности, потому что, например, защитники уже знают, что система была каким-то образом скомпрометирована, но не знают на каком этапе находятся злоумышленники, поэтому они начинают исключать/противодействовать наиболее критичным для их инфраструктуры рискам.
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
y
yugoslavskiy Даниил Югославский 03.12.2021 03:56:35
@JZDLN ,

> Вот, на мой взгляд, доказательство а-ля "этапности": второе значение слова Initial == First, т.е. "первый" [доступ], потом а-ля "второй"
> Про "этапность" упомянул просто для обоснования "перво-" в "первоначальном"

Для того чтобы эта особенность ("этапность") играла для нас роль (представляла собой ценность на которую стоит ориентироваться) необходимо обосновать эту ценность с позиции фреймворка.

> Как вариант, подобная "пошаговая" схема была выбрана, чтобы "защищающиеся" могли определить для себя приоритеты

Приоритет тактики не зависит от его последовательности, порядкового номера или расположения на матрице.
Приоритет (вероятно, речь о severity, поправь пожалуйста если нет) зависит от внутренней модели угроз и для всех разный.

> Итог: последовательность расположения тактик не принципиальна, но помогает (облегчает визуально) определить порядок действий при ограниченности ресурсов/сроков.

То что принято называть "матрицей" — это фасадная абстракция фреймворка, одна из многих.
Последовательность выбрана таким образом чтобы быть похожей на некое развитие атаки. действительно, довольно сложно закрепиться не получив доступ к инфраструктуре.
Однако подобное расположение не означает что там заложена этапность или приоритет.

> защитники уже знают, что система была каким-то образом скомпрометирована, но не знают на каком этапе находятся злоумышленники, поэтому они начинают исключать/противодействовать наиболее критичным для их инфраструктуры рискам.

я бы сделал акцент вот здесь: "наиболее критичным для их инфраструктуры рискам".
у каждой огранизации, в зависимости от их модели угроз, у тактик будет свой приоритет.

я поднимал эту тему на EU ATT&CK Workshop с ребятами из Sigma и нескольких европейских CERT'ов в 2019м году.
предлагал выставить общие (универсальные) веса для тактик. казалось, очевидно что Exfiltration критичнее чем Initial Access.
но нет. мне тогда объяснили почему это так не работает — у каждого своя модель угроз. для кого-то Exfiltration вообще ничего не значит, а для кого-то наоброт.

мы тогда решили придумать логику которая позволила бы выставлять severity level для тактик и автоматически его генерировать для правил Sigma.
типо, человек для своей организации настраивал бы конфиг файл для генерации правил Sigma, и в зависимости от выставленных настроек приоритета тактик для него перегенерировались бы значения severity для каждого правила Sigma.

насколько можно судить, пока данного механизма в Sigma нет, но вообще идея лежит где-то в бэклоге.

короче говоря, нет никакой приоритизации тактик во фреймворке. она нигде не описана.
более того — ее и не должно быть (не в смысле что это запрещено, а в смысле что нет фактора который это обуславливал бы). подробности ниже.
11:56
y
yugoslavskiy Даниил Югославский 03.12.2021 04:17:36
@qwerty_bubble,

> Дополню, что тактики они же про последовательные шаги со стороны злоумышленника. Слева направо.
[...]
> Их составили, чтобы показать на каком этапе что может происходить, но эти этапы в хронологическом порядке расположены.
> А зачем тогда в учебнике расположили именно в такой последовательности?
[...]
> Какая цель, если местоположение тактик не играет никакой роли
> Расставили бы по алфавиту, например

Тактика — это не этап.

Я много раз [1][2][3] называл тактику этапом в ходе движа, до него, и, вероятно, много раз еще назову.
Также делают ребята из Group-IB и PT ESC (насколько можно судить по их отчетам). Я точно помню что они называли тактики этапами (возможно также делали и другие команды - каюсь, всех не смог запомнить).

Однако, это всего лишь способ представления, который более понятен неискушенному читателю/слушателю. Так тупо легче объяснить.

Тактика — это тактическая цель. Разделение идет по этому признаку. Это все.
Слова "этап" (stage) или его вариаций вы не найдете в официальном гайде [4] или публичных выступлениях команды ATT&CK в разрезе описания тактик (хотя про все выступления утверждать наверное не стоит, однако я отдельно пересматривал видео с релевантных конференций в поисках подобных упоминаний несколько недель назад и найти их не смог).

Мне очень хотелось бы чтобы тактика была этапом, правда.
Чтобы можно было определить последовательность, закрепить зависимости одного этапа от другого, распределение во времени.
Но нет. Такой зависимости не прослеживается на системном уровне, на уровне всего фреймворка.
Но ее и не должно быть, потому что логика разделения на тактики — тактическая цель атакующего. Это единственный фактор по которому происходит выделение набора техник в отдельную категорию.

Тот факт что несколько тактик все же образуют определенного уровня последовательность и зависят друг от друга, является приятным бонусом и прямым следствием того что описвается процесс взлома целиком — у него должно быть какое-то начало. Но развитие и конец — неопределены, описаны только существующие варианты.

Пожалуйста, если вы хотите доказать или опровергнуть логику которая распространяется на фреймворк — опирайтесь на официальный гайд [4], логику которая распространяется на все тактики или какие-то иные материалы, которые доказывали бы ваши слова с позиции его задач и архитектуры 🙏

[1] https://t.me/attack_community/2744
[2] https://t.me/attack_TA0042/32
[3] https://t.me/attack_community/2754
[4] https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 03.12.2021 07:21:06
>Чтобы можно было определить последовательность, закрепить зависимости одного этапа от другого, распределение во времени.
Но нет. Такой зависимости не прослеживается на системном уровне...

>... образуют определенного уровня последовательность и зависят друг от друга, является приятным бонусом и прямым следствием того что описывается процесс взлома целиком — у него должно быть какое-то начало.

я вижу тут противоречие какое то.
— с одной стороны у нас не прослеживается последовательность
— с другой стороны это прямое следствие того, что необходимо отразить целостность картинки глазами злоумышленника

🙈

Она либо есть, либо её нет. О каких бонусах речь идёт?
"Мы расположили тактики в определённом порядке, но это не играет роли, они независимы друг от друга. При этом нам нужно отразить процесс взлома, поэтому придавайте значение данной последовательности, но не слишком" но вот уже 10ая редакция матрицы, а тактики каждая на своём месте.
Почему Импакт добавили в конец матрицы? А PRE ATT&CK в самое начало при объединении двух?
Я не думаю, что это просто бонус такой и случайно получилось) Думаю, что делалось именно для наглядности, чтобы прослеживалась зависимость.

Когда у тебя просто набор цифр, ты их не запомнишь. Нужно играть в ассоциации.
В конктесте матрицы ассоциация - это процесс взлома со стороны злоумышленника.
Грубо говоря, ты знаешь, что discovery это что то про разведку внутри периметра, поэтому она где то после того, как злоумышленник получил доступ к инфраструктуре. Смотришь в матрицу, а там так и есть.
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
JZ
J ZDLN Евгений Зудилин 03.12.2021 08:19:22
Соглашусь, что порядок, как таковой, не имеет особого значения для фреймворка.
При этом сделаю предположение, что такая последовательность выбрана не просто так и основана на анализе реальных атак, где рассматривался порядок действий атакующих. В результате, вместо хаотичного списка, было принято решение как-то упорядочить применяемые злоумышленниками тактики.
Итого: порядок не важен (можно считать его условным), но облегчает принятие решения о том, в каком направлении смотреть, т.е. посмотрев на матрицу, можно для себя решить какие индикаторы компрометации (атаки) следует искать дальше (для предотвращения дальнейшего развития атаки) или раньше (для расследования инцидентов). И в любом случае тактики расположены в том порядке, в котором расположены. Можно больше не акцентировать на этом особого внимания, а формулировки для названий выбирать, исходя из их адекватности/точности/возможно даже благозвучия
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
y
yugoslavskiy Даниил Югославский 04.12.2021 05:24:35
Действительно, если из "Тот факт что несколько тактик все же образуют определенного уровня последовательность" убрать начало, оставив только "... образуют определенного уровня последовательность", то тут явно видится противоречие с другими высказываниями, в которых я говорю что такой последовательности нет.

Так можно исказить многие высказывания. В народе это называется "вырвать фразу из контекста" %)
Так мы вряд ли быстрее (или вообще, в принципе) найдем истину.
Я предлагаю к подобным методам не обращаться и продолжить открытое обсуждение опираясь только на конструктивные методы ведения дискуссии 🙏🏻
Их нам будет достаточно, в этом можно не сомневаться (:

Насколько я могу судить (поправь меня пожалуйста, если я не так что-то понял) корень нашего с тобой противоречия кроется в следующем:

- я описываю последовательность как вещь необязательную, но встречающуюся у нескольких тактик
- ты, опираясь все так же на несколько тактик, утверждаешь что эта логика распространяется на все тактики

Я думаю что если какая-то механика представлена во фреймворке как обязательная и имеющая системное влияние (т.е. на некое множество понятий — на все тактики), эта механика была бы описана в официальном гайде, либо прослеживалась бы во всех названиях тактиках. Однако этого мы не наблюдаем.
Это позволяет нам однозначно заключить, что данная логика (последовательность) не является обязательной.

Ты с этим согласен?

Быть может, ты хотел доказать желательность (а не обязательность) отражения этапности в названии тактики?
В см что это явление вообще хорошее и к нему стоит стремиться?
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
KM
Kirill Mitrofanov 🍁 Кирилл Митрофанов 04.12.2021 07:50:29
Я повторюсь, если скажу, что не считаю, что логика с этапностью должна распространяться на все тактики 100%.
Я считаю, что столбцы с тактиками стоят там, где где они стоят, чтобы:
- было легче ориентироваться в самой матрице (слева ты ещё ничего не знаешь о компании, а справа - ты уже воздействуешь на инфраструктуру)
- формирование представления о самом процессе в целом (сначала разведка, потом фишинг).

Явная обязательность не прослеживается после тактики persistence, потому что кто как хочет так и действует, в зависимости от целей. Кто то пойдёт САВЗ ломать на этой машине, кто то пойдёт шары читать, кто то за домен админом полезет на соседнюю тачку.

Что общего будет у различных сценариев взлома инфраструктуры вплоть до компрометации dc? Или до вывода данных? Или до с2с? Тут, опять же, зависит от целей, но начинается с разведки и первоначального доступа. Конечная цель варьируется, начало одинаковое.
И это не желательность, это факт.

Мы же переводим тактику не в отрыве от контекста (тактики атакующего)?
А значит не в отрыве от процесса (взлом) и, как следствие, не в отрыве от других тактик.
Если есть процесс, значит, есть последовательность (от начала до конца)

Ещё раз. Необязательно, что все тактики в матрице это последовательные этапы в строгом порядке.
Но обязательно, что матрица в целом отражает последовательность от "я ничего не знаю о компании" до, например, "выключу этот сервер". И эта последовательность прослеживается слева направо и заканчивается процесс там, где были достигнуты цели атакующего. Например, выключить сервер.
Лучше я уже не донесу свою точку зрения, наверно)
Д
11:56
ДК #1: "Этапность" как свойство названий тактик
$
$t3v3;0) Степан Богачев 07.12.2021 11:15:26
Так. Снова перечитал то, что понаобсуждали.
Мое видение:
* у нас явно возник вопрос(который мучал меня с самого начала) - стоит ли начать обсуждение не конкретно с перевода, а все-таки с философии (в т.ч. Этапности) фреймворка.
* в контексте перевода конкретно этой тактики вопрос этапности важен
* вопрос этапности выходит за пределы обсуждения одного и данного термина

Отсюда предлагаю
* вынести обсуждение этапности в отдельную ветку (чат) с форвардом уже написанных сообщений и продолжить там
* про блок этого обсуждения - решить коллективно. С моей колокольни это блок, но тут я больше полагаюсь на большинство.

Почему блок - потому решение вопроса этапности в фреймворке снимет дискуссии по переводу конкретно этого термина. Странно будет смотреться «начальный доступ» при условии этапности и наличии следующих «начальных доступов» (например к конкретной ИС).

З.Ы.: можно закидать помидорками :)
23 December 2021
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 07.12.2021 18:33:24
помидорок нет, но действительно ли надо выносить куда то обсуждение или мы уже обсудили этапность в рамках этого чата и договорились, что она имеет место быть и её стоит учитывать?) мб голосовалку сделаем?
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 10.12.2021 15:54:25
> действительно ли надо выносить куда то обсуждение

Однозначно. Вот почему:

- Обсуждение про этапность касается других (всех) тактик.
- Понимание этой механики является критически важным аспектом для эффективного применения фреймворка.
- В этом обсуждении огромная познавательная ценность для всего сообщества.
- Результат этого обсуждения опубликуем на сайте в разделе FAQ (как и ряд других топиков которые успели обсудить).

Вместе с тем, мы сможем разблокировать обсуждение текущей тактики:

- у нас есть другие поинты, помимо этапности, в тему выбора начальный/первоначальный (@olchmosk, ваша работа не останется незамеченной!)
- у нас есть существительные, которые мы совсем не успели обсудить
- у нас есть глагол, наличие или отсутствие которого мы так и не утрясли

Перенос этого отдельного обсуждения никому не мешает и доп работы не сулит.
Для нас ничего не меняется — просто обсуждаем именно этот топик отдельно, в другой группе.

> или мы уже обсудили этапность в рамках этого чата и договорились, что она имеет место быть и её стоит учитывать?

(:
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 10.12.2021 15:56:02
Я понял) ок
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 10.12.2021 16:00:08
Встречайте — первая дискуссионная комната. Все нужные сообщения уже там:

@attack_community_dc_1

Названа с надеждой на то, что их будет несколько :D

Эту механику с отдельными комнатами мы по сути сейчас обкатываем впервые, поэтому не стесняйтесь возмущаться по делу или что-то предлагать (в см альтернативных механик или новых правил если считаете что они всем помогут).

Я верю что эта механика приживется и в будущем можно будет разные топики обсуждать в таких комнатах.
Правила те же — следуем кодексу поведения. Все то же самое, только про один топик.

Разница следующая: все обсуждение мы по итогу целиком экспортнем и чат зачистим.
Результат дискуссии публикуем на сайте и в канале. Архив будет там же.
В открытом виде дискуссия будет только на сайте (так чтобы можно было искать).
05:33
y
yugoslavskiy Даниил Югославский 11.12.2021 07:40:10
блин кажись все зря было, ребят
05:33
05:33
они в FAQ подчеркивают отличие от Killchain тем что оно не по порядку. нет там последовательности.
05:33
я щас хотел пост писать для того чтобы разогнать эту тему в других группах и привлечь людей к обсуждению. но вот наткнулся на faq случайно
05:33
что думаете?
05:33
я могу тут объяснить почему оно unordered. я все время объяснял свою позицию через "оно необязательно", но для того чтобы все стало очевидно для всех не хватало объяснения с позиции "чем грозит позициониование тактики как этапа или шага в некой последовательности"
05:33
собственно, я его хотел дропать в дискуссионной. могу тут отписать. надо?
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 11.12.2021 07:53:20
мы про это и говорили, что, в зависимости от целей, злоумышленник может не использовать 100% все тактики в строгом порядке. это очевидно.
килчейн высокоуровневый, аттак нет. всё понятно, с этим все заинтересованные согласились.

Но вот вопрос:
ты не сможешь реализовать Discovery, не получив Initial Access.
Если разобраться, то ты вообще мало что можешь, не получив Initial Access.

Вот тут в данном контексте можно говорить о порядке? Сначала Initial Access, потом всё остальное.

Закладывалась ли идея строгой последовательности в ATT CK для всех тактик? Нет. Даже в фак написали вот.
Но если логически рассуждать, то Initial Access будет всегда в самом начале, потом всё остальное.
Исходя только из этого, перевод конкретной тактики можно связать с "этапностью" нашей.
Не прав?
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 11.12.2021 07:56:27
Значит, продолжаем %) Тут или в дискуссионной? Давай подождем еще ребят которые на стороне этапности были, спросим у них где лучше обсуждать:

@stvTel @JZDLN @EVILYA Михаил @olchmosk, что думаете?
05:33
сейчас просто не принципиально. привлекать новых людей к обсжудению не надо, на серьезных щщах публиковать в нашем FAQ то что и так уже описано у ребят в оригинальном FAQ не резон. поэтому мотивация переезжать в дискуссионную для меня потеряна. но может вы другого мнения
05:33
Где продолжим обсуждение этапности?
Anonymous poll
- В этой группе 7 votes, chosen vote
- В дискуссионной 2 votes
9 votes
y
05:33
yugoslavskiy
PS
Paul Smith Павел Кузнецов 11.12.2021 08:33:20
Вот только я обрадовался (-:

Что думаю - мне кажется как-то неправильно строить обсуждение этапности всей матрицы на аргументах вокруг единственной тактики, в наименование которой входит слово, прямо указывающее на условный таймлайн х) да, initial скорее всего будет раньше прочего, кто бы спорил)) (ну, помимо recon & res. dev, которые за кадром, т.к. виртуально "до") а вот всё остальное может быть перемешано, как лёд в шейкере
05:33
Чтобы добраться до конкретного пользователя, будучи глубоко внутри, атакующий вообще может в тот же рекон уйти :) данных подсобрать
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 11.12.2021 08:35:59
давай все же с местом определимся сначала %) а то нас может затянуть
y
05:33
yugoslavskiy
PS
Paul Smith Павел Кузнецов 11.12.2021 08:36:02
Оке :)
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 15.12.2021 04:47:53
огонь, все проголосовали!

@stvTel @JZDLN ребят, у вас есть какие-нибудь суперважные поинты для того чтобы уйти в дискуссионную? или можем начать?
y
05:33
yugoslavskiy
$
$t3v3;0) Степан Богачев 15.12.2021 04:52:22
Нет
y
05:33
yugoslavskiy
ЕЗ
Евгений Зудилин Евгений Зудилин 15.12.2021 07:57:43
Нет. Мне не принципиально.
05:33
ЕЗ
Евгений Зудилин Евгений Зудилин 15.12.2021 09:47:04
Несмотря на заявление об отсутствии порядка, позволю себе отметить, на мой взгляд, некоторые закономерности между двумя фреймворками.
05:33
y
05:33
yugoslavskiy
$
$t3v3;0) Степан Богачев 15.12.2021 09:50:33
Оно было исторически, кмк. Потом решили зачем-то разделить
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 21.12.2021 06:17:04
Прошу прощения за долгий ответ, очень мало свободного времени оставалось в последние дни.

Постараюсь кратко описать все, пронумерую тезисы, и раскрою их дополнительно если это будет необходимо.

1. Техники образуют тактики, а не наоборот.

Я ранее описывал [1] тактики как сущности которые "разделены на отдельные шаги (техники)". На самом деле все наоборот.
Представление “тактики делятся на техники" это фасадная абстракция фреймворка, которую также принято называть "матрицей”. Эта необходимая абстракция, но супер однобокая; она драматично упрощает суть и наводит на некорректные предположения о сущности фреймворка. Вот представление, которое можно назвать наиболее близким к истинному [2]:
05:33
05:33
Все поведения, а также относящиеся к ним сущности и признаки — это и есть фреймворк.
Его ключевой и центральной сущностью является техника или отдельное поведение.
Группы этих поведений категорированы (объединены) в тактики.

2. Тактика — это признак техники.

Тактика — это признак (свойство, характерная особенность) техники, который отвечает на единственный и очень важный вопрос — с какой целью эта техника может быть применена. У техники есть много других признаков, есть связи с другими сущностями (например, Mitigations) от которых можно построить точно такие же "матрицы", которые подсветят нам отношения между двумя (и только) классами понятий, но не раскроют суть фреймворка.

3. Тактика — это признак техники в момент наблюдения.

Фреймворк предоставляет нам информацию по атомарным вредоносным поведениям (техникам), предоставляя нам возможность вне зависимости от любых факторов (помимо описанных во фреймворке, напр необходимости спец привилегий) обозначить возможную мотивацию (или мотивации, тк их может быть несколько) атакующего для применения техники в данный момент времени, на момент обнаружения. Составление цепочек действий не входит в определения фреймворка.

Фреймворку все равно какой раз (первый/второй/третий/десятый) встречается поведение, похожее на "Initial Access" или любую другую тактику. Наблюдаете некое поведение и можете смапить его на технику фреймворка? Круто! Вот что вы за это получите (для этой техники):

- человеческое описание
- примерные причины для чего оно могло быть использовано (одну и более тактик)
- меры защиты
- методы обнаружения
- реальные кейсы где оно встречалось
- ссылки на доп материалы
- и тд

Тактика не скажет какой раз оно использовалось, куда атака идет, откуда пришла, и насколько она может быть критична в конкретной ситуации. Потому что фреймворк предоставляет описание отдельных поведений и их признаков.

4. Все отношения и зависимости между сущностями (классами сущностей) фреймворка однозначно определены и известны.

Исходный код фреймврка представлен в файлике [4] на 300к линий (20Мб) в формате STIX в официальном репо [5] на GitHub. В нем все — каждая сущность, каждое отношение, детально описано все, что поддается систематизации существующими правилами фреймворка.
Из этого файла формируется официальный вебсайт ATT&CK, с его помощью работает ATT&CK Navigator и тд. Если бы этапность была предусмотрена, она вне всяких сомнений была бы описана в данном документе.

***

Навязывание дополнительных отношений (последовательности) между сущностями противоречит архитектуре фреймворка, потому что рождает дополнительную сложность, которую фреймворк не предусматривает.
Принципы для определения последовательности, критичности, направления и источника атаки формируются командами отдельно от фреймворка.
Это определение происходит на других уровнях абстракции, с учетом множества текущих и предшествующих явлений/факторов.

Когда дело доходит до практики, реализации конкретных защитных мер, обучения специалистов и тд, — позиционирование тактики как этапа является некорректным и вредным для понимания реальной сущности фреймворка, а значит — эффективности его применения. Матрица с тактиками и техниками — это удобный способ представления для введения в топик, общения с руководством или неискушенной публикой, обсуждения высокоуровневых тем, но не более.

🙏 Еще раз попрошу вас 🙏

Пожалуйста, если вы хотите доказать или опровергнуть логику которая распространяется на фреймворк — опирайтесь на официальный гайд [3], логику которая распространяется на все тактики или какие-то иные материалы, которые доказывали бы ваши слова с позиции его задач и архитектуры 🙏

[1] https://t.me/attack_community/2744
[2] Данная диаграмма находится на странице 17 в разделе 3.8 "ATT&CK Object Model Relationships" документа MITRE ATT&CK: Design and Philosophy [3]
[3] https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
[4] https://raw.githubusercontent.com/mitre/cti/master/enterprise-attack/enterprise-attack.json
[5] https://github.com/mitre/cti
y
05:33
yugoslavskiy
ЕЗ
Евгений Зудилин Евгений Зудилин 21.12.2021 08:59:06
> Матрица с тактиками и техниками — это удобный способ представления для введения в топик, общения с руководством или неискушенной публикой, обсуждения высокоуровневых тем, но не более.

Вот это, мне кажется, гланое назначение графического отображения тактик и техник, поэтому там и используются более-менее user-friendly названия (слова/словосочетания), а более подробные объяснения/информация находятся в статьях/файлах, посвещенных конкретной тактике/технике.
Поэтому, мне кажется, стоит подумать о более "неискушенной" публике, которой понятнее смотреть на что-то, хотя бы условно, упорядоченное и удобочитаемое.
ЗЫ
Речь в моём случае идет исключительно о визуальной составляющей таблицы/матрицы.
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 21.12.2021 16:05:41
> Поэтому, мне кажется, стоит подумать о более "неискушенной" публике, которой понятнее смотреть на что-то, хотя бы условно, упорядоченное и удобочитаемое.

Все так (:

Мы ходим по супертонкому льду - надо чтобы было просто для понимания но при этом чтобы оно не вводило в заблуждение и было юзабельно экспертами.

От отсутствия выражения этапности на уровне названия тактики никто не пострадает: ее там не было все эти годы, и кажется будет ок если так оно и останется 👍
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 16:34:25
"Вводить в заблуждение" это субъективно
"Было юзабельно" большинство использует формулировку "первоначальный доступ" (но тут надо оговориться, ссылаемся ли мы все таки на мнение большинства или не ссылаемся)

Этапности нет во фрэймворке в целом. Тактики распределили случайным образом. И PRE ATT&CK, похоже, тоже в самое начало случайно поставили (достоверно неизвестно)

Но визуально это всё смотрится как некая последовательность (субъективно). И в этом, как мне кажется, есть некий контекст, который необходимо учитывать.

Если мы оперируем аргументами про большинство, то давайте в большом чате устроим голосовалку и всё. Если никого не введёт в заблуждение слово "первоначальный", то может его и оставим?
y
05:33
yugoslavskiy
ЕЗ
Евгений Зудилин Евгений Зудилин 21.12.2021 16:40:47
> Но визуально это всё смотрится как некая последовательность (субъективно). И в этом, как мне кажется, есть некий контекст, который необходимо учитывать.

Полностью поддерживаю данную "субъективность". Она, как мне кажется, всё время всплывает где-то на периферии, и сложно её полностью игнорировать.
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 21.12.2021 16:54:15
> Но визуально это всё смотрится как некая последовательность (субъективно). И в этом, как мне кажется, есть некий контекст, который необходимо учитывать.

То как оно смотрится из одной абстракции не влияет на то чем фреймворк является.

То как мы переведем названия и какими принципами будем руководствоваться решать не большинству, а логике и правилам фреймворка.

Обоснуй пожалуйста то что ты хочешь достичь через правила, архитектуру или задачи фреймворка.

Если такого обоснования нет, то я предлагаю тебе на этом и остановиться.
05:33
По поводу большинства:

https://ru.m.wikipedia.org/wiki/Апелляция_к_большинству

Я не первый раз встречаю подобные намерения. В главном чате несколько человек ожидают ответа по этому поводу, я отвечу там в ближайшее время.

Очень хотелось бы понять откуда оно идет? Почему в принципе у вас есть такое намерение? @qwerty_bubble что на твой взгляд в нашем конкретном случае решит большинство?
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:04:27
Я зацепился за предложение:
"надо чтобы было просто для понимания но при этом не вводило в заблуждение и было юзабельно экспертами"
05:33
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:05:05
Т.е не для себя. Для большинства. Для комьюнити
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 21.12.2021 17:05:51
И поэтому если большинство решит что этапность должна быть, то выходит, оно так и есть?
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:07:24
Здесь не про этапность вопрос, а про
"просто для понимания"
"не вводило в заблуждение"
"было юзабельно"
05:33
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:07:59
Предложить два варианта наших конечных, пусть решают, что в их понимании проще, не вводит в заблуждение и более юзабельно
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 21.12.2021 17:08:06
этапность на уровне тактики это и есть заблуждение, оно таковым является вне зависимости от мнений
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:09:53
Да не про этапность речь же
05:33
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:10:09
Есть два варианта. Какой на ваш взгляд корректней
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 21.12.2021 17:13:59
Чот я запутался) А о чем речь? Я все время писал об этапности и описывал почему ее нет. С этим вопросом мы разобрались? Тебе понятно почему ее нет? Ты согласен с этими доводами?
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:21:29
Я согласен, что не закладывалась этапность создателями изначально.
Они про это и написали сами.
Но я вижу, что тактики расположены в последовательности. Мне легче ориентироваться и смапить это все на килчейн.

Это как знание о том, что помидор это фрукт (ягода), но я не добавляю его во фруктовый салат)
05:33
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:21:38
Нет хаоса, я вот к чему
05:33
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:21:52
Сначала подготовка, потом доступ и т.д
05:33
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 17:34:28
Ты когда на матрицу смотришь, чисто визуально тебе не кажется, что слева направо прослеживается последовательность по килчейну?
Или ты разрозненно смотришь на столбцы как на ряд

7 4 2 9 1 0 3 8

Ну т.е полное отсутствие логики
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 21.12.2021 19:57:09
тактика — это признак техники. техника — это центральная, основная сущность фреймворка.
фреймворк описывает только то, к какой тактике (тактикам) может относиться каждая конкретная техника.

то что на одной из многих абстракций которые однобоко отражают суть фреймворка видно какие-то взаимосвязи похожие на этапность не обязывает фремворк или любой из его компонентов отражать их.

тактики — это категории.
категории выделяются по принципу непохожести на другие.
разделителем является цель для которой используется техника.
больше на уровне тактик ничего нет)

но то что оно похоже и наводит на какие-то мысли — это очень правильно и хорошо.
но при чем тут фреймворк? почему эти идеи должны отражаться через его сущности или их названия? чем это обосновано?
05:33
я хотел бы тебя еще раз попросить опираться в своих доводах на архитектуру, документацию, задачи, и прочие вещи которые относятся к фреймворку ATT&CK.
то как оно относится к Kill Chain описано в официальном FAQ.
я с огромным удовольствием подискутирую об этом позже, в отрыве от текущей дискуссии, потому что данный фактор к ней не относится.
очень хотелось бы закончить перевод в этом году 🙏
y
05:33
yugoslavskiy
KM
Kirill Mitrofanov ❄️ Кирилл Митрофанов 21.12.2021 20:39:41
Т.е мы будем таки крошить помидор во фруктовый салат)
Основной упор сделан на то, что фреймворк не про последовательность, поэтому надо игнорировать видимое и не придавать значение тому, вот так карты (тактики) легли. При этом не берём в расчёт то, что думает большинство, хотя язык постоянно меняется и те же лингвисты учитывают мнение, не смотря на то, что оно может быть неверным (пример, йОгурт и йогУрт, вторая форма устаревшая, тк большинство всё таки произносит с ударением на первый слог). Если делаем для комьюнити, то почему убираем данный фактор.
Считаю, что опираться только на знание не всегда правильно, но это моя позиция.
Менять мнение в опросе также не считаю правильным, потому что аргументы меня лично не убедили. Останусь при своём)

За сим считаю свою позицию по вопросу высказанной и аргументированной
y
05:33
yugoslavskiy
y
yugoslavskiy Даниил Югославский 23.12.2021 05:28:10
> Т.е мы будем таки крошить помидор во фруктовый салат)

Эта позиция основана на том, что отсутствие "этапности" — это несущественный, формальный факт. Таким образом, поскольку "этапность" все же наблюдается в некоторых местах, есть основания полагать что она необходима.

Тем не менее, даже явное отрицание наличия упорядоченности в официальном FAQ [1] многих не убедило.

Поэтому я попытался раскрыть это явление через архитектуру фреймворка, его внутреннюю организацию, которая говорит нам что тактика не является этапом, поскольку это классификация [2]. Одно с другим несовместимо (по крайней мере на текущий момент) и само позиционирование тактики как этапа является некорректным. "Этапность" противоречит архитектуре фреймворка.

Но и после этого несколько людей высказало позицию о том что этапность все же необходима. Это удивительное явление не оставляет у меня сомнений в том, что данный топик необходимо публиковать и вовлекать в него больше экспертов, и более детально прорабатывать, доводя все до логического завершения.

Если даже среди нас есть те, на чье мнение касательно этапности не влияет официальный FAQ [1], чего ждать от остального сообщества и специалистов вне него? Необходимо разобрать этот топик и прояснить данный аспект, и в итоге закрепить его в FAQ, а может даже отправить ребятам в ATT&CK, возможно они расширять официальный FAQ нашими наработками (:

Поэтому я переношу новые сообщения в первую переговорную @attack_community_dc_1 и отпишу там детальнее в чем отличия фреймворков Cyber Kill Chain и ATT&CK с позиции нашего вопроса.

[1] https://attack.mitre.org/resources/faq/
[2] https://ru.wikipedia.org/wiki/Классификация
y
05:46
yugoslavskiy
y
yugoslavskiy Даниил Югославский 23.12.2021 05:31:56
> При этом не берём в расчёт то, что думает большинство, хотя язык постоянно меняется и те же лингвисты учитывают мнение, не смотря на то, что оно может быть неверным (пример, йОгурт и йогУрт, вторая форма устаревшая, тк большинство всё таки произносит с ударением на первый слог). Если делаем для комьюнити, то почему убираем данный фактор.

Если ты про голосование за итоговый вариант — то этот вопрос я не комментировал. До него еще далеко — на этапности свет клином не сошелся. У нас есть много других факторов, которые мы еще не успели проявить. Я отвечал по существу дискуссии об этапности, а также отдельно от этого вопроса комментировал некорректность голосования в вопросах где присутствуют правила. вопросы веры, чувств, а также тонких малоизмеримых материй — это то, где скорее всего придется голосовать. Этот топик я подробно опишу в общем чате.

> Считаю, что опираться только на знание не всегда правильно, но это моя позиция.

В этом у нас нет противоречий.

> За сим считаю свою позицию по вопросу высказанной и аргументированной

Как скажешь 🙏
y
06:33
yugoslavskiy Даниил Югославский
Отличие этапов Cyber Kill Chain от тактик ATT&CK

## Cyber Kill Chain

Фреймворк [1][2] который описывает этапы атак. Создан на основе схожих военных концептов, которые описывали действия атакующих в виде последовательных этапов:

> This is an integrated, end-to-end process described as a “chain” because any one deficiency will interrupt the entire process.

Так, фреймворк предлагал как можно раньше обрывать эту цепочку, тем самым, предоствращая атаки на ранних этапах.

Фреймворк описывает атаку целиком, т.е. действия актора абстрактно от обстоятельств. Вот есть эти несколько этапов, они атакующим каким-то образом реализуются последовательно.
Это всё.

## ATT&CK

Фреймворк который описывает поведения атакующих (техники). Создан на основе аналитики, разработанной в лаборатории при запуске реальных компьютерных атак.

Описывет атомарные поведения (техники), закрепляя за ними набор метрик безотносительно последовательности исполнения. Важнейшим аспектом является то, что каждая техника рассматривается исключительно в рамках какой-то платформы (Windows/Linux/macOS/Mobile/ICS/Cloud/etc), или нескольких платформ. Иными словами:

> техника отражает атомарное вредоносное поведение производимое на каком-то одном конкретном компьютере

Фреймворк не определяет как меняются признаки техники в зависимости от последовательности или времени.
Он выдает набор статичных признаков для каждой техники.

Среди этих статичных признаков есть особая характеристика — "тактика". Она отвечает на вопрос "зачем атакующий делает то что он делает". Таких причин (тактик) у техники может быть несколько. Тактики категоризируют (классифицируют) [3] техники по признаку цели, которую атакующий пытается достичь.

## В чем же отличие

Cyber Kill Chain — это концепт про несколько взаимосвязанных последовательных этапов у которых есть названия и примерное описание того что за ними стоит. Он создавался для этого.

ATT&CK — это про атомарные поведения в рамках одного компьютера без привязки ко времени и последовательности.
06:35
## Cyber Kill Chain + ATT&CK

Оказалось, что сообщество очень серьезно озабочено вопросом выражения этапности через тактики ATT&CK. И этот запрос очевиден и понятен: последовательность — это важная штука которая может помочь во многих практических направлениях. Я ранее упоминал что сам хотел бы чтобы тактика была этапом, и с сожалением осознаю что это не так.

В этом году (!), посредством скрещивания тактик ATT&CK с этапами Cyber Kill Chain, родился фреймворк который обеспечиват заветную этапность. Встречайте:

THE UNIFIED KILL CHAIN [4]
06:35
30 January 2022
y
09:05
yugoslavskiy Даниил Югославский
Всем привет!

я готовлю к публикации новость о дискуссионных комнатах.
в этой связи необходимо описать то что в них происходило.
я составил таймлайн данной дискуссии, и хотел бы согласовать его с вами: @qwerty_bubble @olchmosk @JZDLN @stvTel 🙏🏻

https://attack.community/discussions/dc_1.html

Посмотрите пожалуйста, я ничего не напутал?

Эта страница нигде не упоминается, поэтому можно считать что ее никто кроме вас не видит.
Все с чем не согласны обсудим и поправим (:
$
16:29
$t3v3;0)
In reply to this message
Привет. По мне - нет Степан Богачев
KM
19:05
Kirill Mitrofanov ❄️ Кирилл Митрофанов
Привет. По мне тоже
ЕЗ
19:12
Евгений Зудилин Евгений Зудилин
Привет. Мне норм. Только я, как мне показалось, сразу после ознакомления с официальным "дисклеймером" митры признал, что официально этапности никакой нет. Я бы назвал текущий порядок расположения тактик псевдоэтапностью. Но все эти моменты можно обсудить в дальнейшем (при желании).
OM
20:25
Olga Mosk Ольга Моск
In reply to this message
И я 😬 Псевдоэтапность 😎
20:25
Но в целом норм
31 January 2022
y
05:03
yugoslavskiy Даниил Югославский
Спасибо что так быстро ответили! (:

@JZDLN

> Только я, как мне показалось, сразу после ознакомления с официальным "дисклеймером" митры признал, что официально этапности никакой нет.

Выходит, я неверно интерпретировал твою текущую позицию и некорректно отразил ее в таймлайне.
Вот тут [1] я пишу:

> Тем не менее, даже явное отрицание наличия упорядоченности в официальном FAQ [1] многих не убедило.
> Поэтому я попытался раскрыть это явление через архитектуру фреймворка, его внутреннюю организацию, которая говорит нам что тактика не является этапом, поскольку это классификация [2]. Одно с другим несовместимо (по крайней мере на текущий момент) и само позиционирование тактики как этапа является некорректным. "Этапность" противоречит архитектуре фреймворка.
> Но и после этого несколько людей высказало позицию о том что этапность все же необходима. Это удивительное явление не оставляет у меня сомнений в том, что данный топик необходимо публиковать и вовлекать в него больше экспертов, и более детально прорабатывать, доводя все до логического завершения.

Основная причина выноса данной дискуссии в отдельную комнату и возникновения намерения вовлечь больше спецов как раз связана с тем что (как мне показалось) FAQ и другие аргументы тебя и других не убедили. Реакция была только от тебя и @qwerty_bubble, остальные молчали.

Давай попробуем этот момент прояснить 🙏🏻

Что ты подразумеваешь под “псевдоэтапностью”? Это явление как-то связано с текущим топиком, или относится к исходному обсуждению тактики Initial Access?

У нас во всех дискуссиях одной из основных проблем является смешение контекстов и уход от изначального вопроса.
Тут явно прослеживаются организационные недоработки.
Эту проблему мы обязательно решим и она перестанет отнимать у нас время 🙏🏻

[1] https://t.me/attack_community_dc_1/107
ЕЗ
12:29
Евгений Зудилин Евгений Зудилин
In reply to this message
Мне кажется, единственное место, где лингвистически прослеживается "этапность" - это Initial Access. Можно прямо сейчас попробовать отказаться (по возможности) от этой отсылки (например, исключив слово "первоначальный" из названия тактики).
Тем не менее, порядок расположения тактик всё же намекает на некую этапность/последовательность действий (иначе, как мне кажется, порядок был бы произвольный, например, по времени формирования тактики). Дисклеймер же написали, как мне кажется, именно потому, что было много споров/вопросов относительно порядка тактик, т.е. "чтобы не отвлекаться на подобные "мелочи", вот вам официальное заявление (т.е. этапности у нас нет), живите с этим как хотите, а мы лучше займемся более прикладными вопросами/проблемами".

Таким образом, порядок тактик такой какой он есть. Если я все правильно понимаю, у нас нет задачи его изменить или как-то повлиять на его изменение. Поэтому данную тему, как мне кажется, можно считать второстепенной, и больше времени стоит уделить остальным названиям.
PS
12:37
Paul Smith Павел Кузнецов
In reply to this message
Я это всё уже, вроде, читал. У меня ощущение что мы ходим по кругу
y
12:37
yugoslavskiy Даниил Югославский
In reply to this message
Эта позиция основана на том, что отсутствие "этапности" — это несущественный, формальный факт. Таким образом, поскольку "этапность" все же наблюдается в некоторых местах, есть основания полагать что она необходима.

Однако выше я доказал что ”этапность" противоречит архитектуре фреймворка, поскольку это классификация [2]. Ты не согласен с приведенным доказательством?
12:38
In reply to this message
Все так.
Приведенные доказательства еще ни разу не были прокомментированы.
Но мы с этим разберемся уже в самое ближайшее время
ЕЗ
12:41
Евгений Зудилин Евгений Зудилин
In reply to this message
Я согласен, что этапность не стоит принимать во внимание, но, тем не менее, как мне кажется, она там присутствует "виртуально" (или неформально).
12:42
Т.е. я признаю, что официально её [этапности] там нет.
y
12:43
yugoslavskiy Даниил Югославский
Мое доказательство сводится к тому что этапности там нет не только официально, но и по существу, т.е. ее там быть не должно, т.к. это противоречит текущей архитектуре. Мы с тобой говорим сейчас про фреймворк, ментальную модель.

То что вне этой модели этапы можно накручивать или представлять к нашему вопросу не относится. Или я не прав?
ЕЗ
12:43
Евгений Зудилин Евгений Зудилин
ну и, мне кажется, стоит в связи с этим (отсутствием этапности) постараться избежать какого-либо её лингвистического отображения в названиях
12:48
In reply to this message
Мне кажется, мы немного о разных аспектах фреймворка говорим: ты про суть самого фреймворка, а я про его визуально-лингвистическое представление. По основным вопросам, как мне кажется, у нас нет противоречий. Поправь меня, если я ошибаюсь.
y
12:51
yugoslavskiy Даниил Югославский
мы сейчас говорим про свойства знаков — названий тактик.
эти знаки объединены в систему по определенному набору критериев.
среди этих критериев обозначалась т.н. “этапность”.
я говорил о ней, и аргументацию строил отсюда и об этом.

визуально-лингвистические аспекты фреймворка — это звучит оч захватывающе и интересно, но кажется оффтопом.
Поправь меня если я заблуждаюсь 🙏🏻
ЕЗ
12:53
Евгений Зудилин Евгений Зудилин
In reply to this message
Этапность, насколько я помню, обозначилась только в одном месте (слове Initial), поэтому я просто предлагаю не добавлять этапность там, где её нет в оригинальном тексте.
y
12:58
yugoslavskiy Даниил Югославский
In reply to this message
в сообщении от 30 ноября постановка вопроса идет о всех тактиках.
ответ от @olchmosk и @qwerty_bubble — этапность является свойством таткик.
далее дискуссия развивается также в ключе всех тактик. это многократно упоминается по ходу доказательств.
ЕЗ
13:01
Евгений Зудилин Евгений Зудилин
In reply to this message
Мое личное мнение в итоге сводится к тому, чтобы не добавлять этапность там, где её нет в оригинальном тексте.
y
13:02
yugoslavskiy Даниил Югославский
Прокомментируй пожалуйста по существу то о чем я тебе пишу) Иначе дело не продвинется)
ЕЗ
13:25
Евгений Зудилин Евгений Зудилин
In reply to this message
Мое мнение: этапность не является свойством тактик.
Так нужно было? Я всё правильно понял?
y
13:35
yugoslavskiy Даниил Югославский
In reply to this message
Не совсем.

Если коротко, то мне нужно услышать “доказательства ок” или “доказательства не ок”.

Почему нет этапности:

- потому что они (команда ATT&CK) забили на малозначительный аспект и обошлись отпиской?
- потому что ты понял и принял то что описано в доказательствах?
ЕЗ
13:49
Евгений Зудилин Евгений Зудилин
In reply to this message
Если говорить про "свойство" тактик, то твои доказательства == ОК.
Если говорить про визуально-лингвистический аспект так называемой матрицы (https://attack.mitre.org/versions/v10/) (т.е. то что я вижу, когда смотрю на бумажную версию/распечатку таблицы), то нельзя, по крайней мере мне, не отметить наличие некоей закономерности в расположении названий тактик именно в таком порядке.
В подтверждение твоих доводов (об отсутствии этапности) могу предположить наличие следующего сценария атаки:
1) Злоумышленник узнал учетные данные от чего-то важного, но ему не понятного (например, на фото некоего военного начальника, сделанного во время его интервью на его рабочем месте, на стене висел стикер с логином и паролем, и он попал в кадр с хорошим разрешением). Будем считать это Initial Access.
2) Но злоумышленник не знает от чего эта учетка, поэтому он может перейти к Reconnaissance, т.е. собрать инфу об этом начальнике и месте его работы.
3) Потом он может сразу перейти к этапу Impact.
4) А немного подумав решит остаться в системе и перейти к этапу Lateral Movement.
5) А затем может задуматься и о Persistence, перед тем как прошел Exfiltration.
y
13:51
yugoslavskiy Даниил Югославский
> Если говорить про визуально-лингвистический аспект так называемой матрицы (т.е. то что я вижу, когда смотрю на бумажную версию/распечатку таблицы), то нельзя, по крайней мере мне, не отметить наличие некоей закономерности в расположении названий тактик именно в таком порядке.

Я выше описал что подобные вещи вне скоупа. Исходя из того что ты пишешь, ты все же считаешь это вещью находящейся в скоупе текущей проблематики.

Опиши пожалуйста почему ты так думаешь 🙏🏻
ЕЗ
13:56
Евгений Зудилин Евгений Зудилин
In reply to this message
Да. должен признать, это, скорее оффтоп, т.е. просто наблюдение, не имеющее к "Этапности как свойству названия тактик" никакого отношения.
y
13:59
yugoslavskiy Даниил Югославский
In reply to this message
Таким образом, доказательства ОК без претензий.
Псевдоэтапность — оффтоп (однако, как топик — совершенно небесполезный, и я верю что мы к нему еще вернемся в будущем).
Спасибо 🙏🏻

@olchmosk вы того же мнения?
8 February 2022
Д
10:02
ДК #1: "Этапность" как свойство названий тактик
Статус: Дискуссия завершена.

Проблема: В ходе работы над переводом названия одной из тактик, участники сослались на свойство тактики под условным названием "этапность", которая выражается в:

- наличии последовательности между тактиками ("слева направо", "пошаговая")
- возможности строить цепочки как у Cyber Kill Chain
- возможности анализировать последовательность действий атакующего на основе порядка тактик
- возможности приоритизировать критичность действий атакующего на основе порядка тактик

Не все согласились с наличием данного свойства. Завязалась дискуссия, в ходе которой явное отрицание наличия упорядоченности в официальном FAQ многих не убедило, как и другие аргументы, основанные на архитектуре фреймворка. Стало очевидно что данный вопрос требует особого внимания. Решено привлечь более широкий круг экспертов для детального разбора и последующего закрепления в FAQ нашего сообщества.

Цель: Доказать или опровергнуть принадлежность "этапности" к свойствам названий тактик, опираясь на имеющиеся данные: документацию, архитектуру и задачи фреймворка.

Результат: Принадлежность "этапности" к свойствам тактик фреймворка ATT&CK (и их названиям) опровергнута.
10:04
Утверждения в пользу существования этапности:

1. ATT&CK и Cyber Kill Chain созданы, чтобы показать на каком этапе что может происходить

2. Пошаговая схема была выбрана, чтобы защищающиеся могли определить приоритеты

3. Последовательность прослеживается у некоторых тактик, а значит — присутствует у всех

4. Последовательность прослеживается при сопоставлении тактик ATT&CK и Cyber Kill Chain, они расположены в хронологическом порядке

5. Последовательность прослеживается визуально ("слева-направо")

Каждое из утверждений было опровергнуто. Опровержение принято без претензий

Детальная хронология доступна на сайте сообщества.
$
11:59
$t3v3;0) Степан Богачев
Ок
OM
14:18
Olga Mosk Ольга Моск
Да, ок 👌🏻