В качестве теоретической основы для формирования названий тактик мы используем документ MITRE ATT&CK: Design and Philosophy [1]:

> • Tactics, denoting short-term, tactical adversary goals during an attack;
[...]
> Tactics represent the “why” of an ATT&CK technique or sub-technique. It is the adversary’s tactical objective: the reason for performing an action
[...]
> The process of ATT&CK development is [...] focused on an accurate representation of how adversaries conduct operations in a way that’s easy to categorize the actions they take and relate those actions to [defenses].
[...]
> There are three conceptual ideas that are core to the philosophy behind ATT&CK:
>
> • It maintains the adversary’s perspective;
> • It follows real-world use of activity through empirical use examples;
> • The level of abstraction is appropriate to bridge offensive action with possible defensive countermeasures.
[...]
> The tactics and techniques in ATT&CK define adversarial behaviors within a lifecycle to a degree where they can be more effectively mapped to defenses.

Важные для нашей задачи аспекты:

- Все наименования трактуются с позиции атакующего;
- Тактика является целью, которая достигается атакующим за счет использования техники;
- Тактики и техники разделены по принципу наиболее эффективного применения мер защиты от них.

Таким образом, совокупность техники и тактики должна позволять нам использовать конструкцию "атакующий пытается [тактика] используя [техника]". Например:

- Атакующий пытается [Закрепиться] используя [Расширение браузера]
- Атакующий пытается [Обойти защиту] используя [Руткит]
- Атакующий пытается [Собрать данные] используя [Захват ввода с клавиатуры]

Эта конструкция ломается на сложнопереводимых тактиках, таких как Lateral Movement. Первые переводчики вообще решили не брать грех на душу, отказавшись переводить это название. Но свято место пусто не бывает, все начали придумывать свои версии. За мной числится очень специфическая — "Горизонтальное продвижение". Сейчас, спустя (как минимум) 4 года после ее создания, я вижу что она нашей цели совсем не способствует и даже вредит: она не помогает объяснить слушателю чего пытается добиться атакующий. Эта версия выступает исключительно как ссылка к оригиналу, белый шум. Эта же логика распространяется на использование других специализированных терминов, которые технически отражают цель атакующего и являются корректными, но не понятны широкой публике:

- Эксфильтрация
- Рекогносцировка

На мой взгляд, используя эти слова, спикер не производит на неподготовленного слушателя никакого положительного эффекта. Будет суперкруто если те кто использовал или предлагал эти версии не воспримут мой комментарий враждебно. У нас были свои причины и обстоятельства переводить названия тем или иным образом, мы действовали вслепую и прокладывали дорожку для остальных. Сейчас у нас есть возможность договориться об этом совместно и впредь ссылаться на это коллективное решение.

Но перед тем как перейти к обсуждению конкретных версий перевода, я предлагаю ответить на следующие вопросы:

Стоит ли нам использовать специализированные термины для объяснения действий атакующих на уровне тактик?
Достаточно ли преимуществ они дают в сравнении с более простыми версиями, понятными широкой аудитории?

После того как договоримся, создадим тред для каждой тактики и обсудим их перевод отдельно.
В случае ненахождения единой позиции по тому или иному вопросу, будем голосовать.
Также, в случае необходимости, мы сможем задать вопросы команде разработчиков ATT&CK.

[1] https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf

Океееей :) раз уж я был одним из тех, кто настаивал на термине рекогносцировка, выскажусь

Я думаю, стоит использовать специализированные. Потому что, всё же, фреймворк нацелен на специалистов и не ставит своей целью путем несения света знания научить условную кухарку (по Ильичу) выявлять кибератаки и противодействовать им. Глоссарий - вполне нормальный базовый порог для вхождения в тему.

Какую задачу решает этот порог?
Почему вы считаете что этапы взлома интересны исключительно специалистам нашей сферы?

Со мной можно на ты :) я не настолько суперstar ;)

1) Порог - никакую, а вот термин идеально описывает соответствующую тактику

2) Я так не считаю. Точно также и этапы в военных операциях, откуда пришел термин, интересны, например, историкам. Но они изучают терминологию и их это не тормозит. Упрощая всё и вся, мы почему-то отказываем людям в стремлении учиться - почему? Изучение базовой сути термина занимает максимум три минуты :)

Стоит ли нам использовать специализированные термины для объяснения действий атакующих? Достаточно ли преимуществ они дают в сравнении с более простыми версиями, понятными широкой аудитории?
Для названия тактик (стадий атак) имеет смысл стремиться к использованию общепринятых русских слов (1-3 слова). Далее глоссарий - где конкретное название тактики уже раскрывается более развернутыми пояснениями, ориентированными на широкий круг лиц, но всё же имеющих отношение к кибербезу. На мой взгляд так же лучше избегать англицизмов и использовать их только там, где это целесообразно. Например, "эксфильтрация" видится избыточным, хотя и понятным для тех кто постоянно в теме. Лучше "эксфильтрацию" заменить на "вывод данных". Другой пример - "закрепление", это понятное русское слово, но требующее чтения глоссария, чтобы понять значение в аспекте атаки (хотя опять же те, кто имеют отношение к кибербезу в целом скорее будут сразу понимать этот термин, чем не понимать).

Неспециалистам достаточно знать, что такие этапы существуют. Все равно они не будут заморачиваться глубоким изучением темы и все равно будут использовать привычную им лексику для описания событий, которые они только в фильмах про хакеров и видели

> Со мной можно на ты :)

добро (:

> Порог - никакую

Иными словами порог не нужен. От себя добавлю что он не только не нужен, но и вреден. Снижает конверсию.

> идеально описывает соответствующую тактику

Вы считаете что в нашем случае идеальное описание лучше хорошего? В чем его приемущества, которые перекрывают повышение конверсии?

> Упрощая всё и вся, мы почему-то отказываем людям в стремлении учиться

Иными словами, упрощая вход в область, мы отказываем людям в стремлении учиться?

1) По порогу +, про вредность не соглашусь, но это отдельная тема
2) Преимущество в точности языка двух общающихся субъектов (специалистов) - употребляя "идеальный" термин, мы максимально четко очерчиваем направление беседы/исследования/...
3) Не отказываем, а лишаем одной из опор мотивации. Зачем людям фреймворк если лень сильна настолько, чтобы не выучить единственное слово? Проще и правда посмотреть "Пароль: рыба-меч"

> 2) Преимущество в точности языка двух общающихся субъектов (специалистов) - употребляя "идеальный" термин, мы максимально четко очерчиваем направление беседы/исследования/...

Для достижения указанного вами результата достаточно будет использовать одинаковый термин? %)

> 3) Не отказываем, а лишаем одной из опор мотивации.

Не могли бы вы привести какие-нибудь ссылки/примеры, которые подтверждают ваш тезис “термины — опора мотивации для обучающихся”?

И всё равно на "вы")))
2) в конкретном случае с 'рекогносцировкой' - да, точно так
3) "число Авогадро" как конкретный пример - для химиков незнание данного термина индикатор недостаточной погруженности субъекта в тему. При этом, напротив, знание означает, что конкретному субъекту из конкретной области знаний дополнительно пояснять многое не нужно и можно переходить к сутевому общению. Соответственно цель изучения терминологии - вхождение в сообщество и переход на общепринятый язык. Если бы вместо термина использовалось каждый раз "число, которое обозначает блаблабла", то необходимость обращения к специализированным материалам исчезала бы.

> И всё равно на "вы")))

Сорян)))

> 2) в конкретном случае с 'рекогносцировкой' - да, точно так

Твой тезис состоял в том, что у идеального термина есть приемущества перед хорошим, потому что в беседе специалистов он максимально четко очерчивает направление беседы/исследования/….
Я спросил решается ли эта задача использованием одинакового (а не идельного) термина.

Если не решается — будет круто если опишешь почему.
Если решается — тред 2 закрываем.

Понял формулировку теперь :) конкретно поставленная задача - решается, да :) и тред можно, казалось бы, и закрыть, но тогда в бэклог нужно внести "новый" тред с умножением сущностей - и дискутировать ещё очень долго - ну, примерно как с "киберразведкой" (beg my pardon for ad Hitlerum (-:)

Я верю что мы с тобой и остальными заинтересованными сможем по существу оценить предлагаемые альтернативы.
Пока же нам стоит определиться нужны сложносочиненные термины на уровне тактик или нет.
На тред 3 стоит отвечать? Ток вечером уже смогу

Same here :)

Про 3 - сам сейчас выпаду из дискуссии, тч. вечер норм)

Привет!

Твой аргумент про число Авогадро, вероятно, относится к уже закрытому треду про порог — некое изначальное требование для вновьприбывших, оно же индикатор того что человек "в теме". Давай попробуем вернуться обратно к доказательству (опровержению) твоего тезиса "термины — опора мотивации для обучающихся".

> Если бы вместо термина использовалось каждый раз "число, которое обозначает блаблабла", то необходимость обращения к специализированным материалам исчезала бы.

Твой аргумент опровергает тезис "необходимо заменить все сложные термины на их упрощенные длинные версии".
Давай вернемся к его опровержению (доказательству), когда (если) он будет озвучен кем-то из присутствующих в контексте текущего дискурса.

Пока всему + :)

Сложность о которой я говорю можно описать как невозможность интерпретации названия тактики неподготовленным слушателем (не профессионалом в нашей отрасли).

Просто:

- “Атакующий пытается переместиться по сети.”
- “Атакующий пытается провести разведку”.
- “Атакующий пытается вывести данные”.

Не нужно обладать специальными знаниями, чтобы понять значение этих слов и составить какой-то образ.

Сложно:

- “Атакующий пытается продвинуться горизонтально.”
- “Атакующий пытается провести рекогносцировку.”
- “Атакующий пытается провести эксфильтрацию.”

Понять это без специальных знаний не получится.

Продублирую вопрос:

Стоит ли нам использовать специализированные термины для объяснения действий атакующих на уровне тактик?
Достаточно ли преимуществ они дают в сравнении с более простыми версиями, понятными широкой аудитории?

Воооо

> 1) Да, пояснения выше по комментариям

Не закрытым остался один тред, — обсуждение тезиса "термины — опора мотивации для обучающихся". Давай к нему вернемся (:

> 2) добавлю в очередной раз, что считаю, как и В.И. Ленин, что это нам кухаркам нужно создать условия для обучения, чтобы они шмогли, а не упрощать понятийный аппарат =)

Я верю что упрощать материал для понимания нужно для всех, в т.ч. для кухарок, особенно если у нас при этом не убавляется.
Собственно, второй вопрос как раз об этом — в чем заключается польза от использования специализированных терминов перед простыми но при этом корректными по смыслу словами?

2) Перед простыми, но корректными - ни в чем. Перед некорректными - во всем :) в случае с reconnaissance термин "разведка" некорректен п.м.с.м., так как допускает слишком широкую трактовку действий

1) ок, но я по нему вернусь скорее всего утром завтра :)

> Перед простыми, но корректными - ни в чем

Таким образом, сложные термины не нужны и за сим вопрос с тобой можно закрыть? (:

Корректность слова “Разведка” в разрезе тактик Reconnaissance и/или Discovery мы обсудим когда будем работать над выбором перевода для них.

Сейчас идет вопрос о необходимости применения сложных терминов в наименованиях тактик при наличии простых.

Если причина только чтобы упросить - простые термины это хорошо. Думаю самое важное, чтобы люди из контекста практического иб одинаково понимали о чем речь. А это итак уже есть. Можно сослаться на технику/тактику MITRE и тебя уже понимают.

В случае с recon/discovery я обычно делю на внутреннюю и внешнюю разведку в диалоге, обычно это полностью отражает суть. Имхо это проще для понимания. Но если есть цель, о которой говорит @alukatsk, - корректнее использовать "рекогносцировка". Думаю, что это частный единичный пример изо всей матрицы где в зависимости от цели лучше использовать разные термины.

+

Я использовал «разведка» (ибо тупо понятнее, что снаружи) и «сбор сведений». По мне так «разведка» понятнее «рекогносцировки», хотя я не против и ее. Она у меня не вызывает вопросов тоже, просто звучит сложнее

По моему мнению, инструмент должен быть максимально простым и понятным, так как главная его цель - объединить широкий круг специалистов с разным уровнем подготовки.
Использование сложных терминов, определенно, позволит отфильтровать специалистов, которые недостаточно погрузились в сабж. Но это никак не будет способствовать объединению.
А ещё, специалисты, которые не смогли осилить сложные термины, возможно, будут пытаться придумывать что-то своё, простое и понятное, вместо того, чтобы использовать общепринятый инструмент.
ИМХО

Мне кажется, что попытка упрощения это деформации профобласти, которая в итоге приведет к ухудшению ситуации. Терминология стимулирует людей углубляться в вопрос, понимать в чем соль, задаваться вопросами.

Как подметили выше, лучше создавать условия обучения, делать обучение доступным, но не упрощаться. Если же вопрос стоит о возможности объяснить коллеги из соседнего отдела как похекали систему за которую от отвечал, мне кажется тут тоже существует множество вариатов.

Есть дрель, а есть перфоратор, это два разных инструмента, со своими особенностями и пока тебе не понадобится перфоратор, ты будешь пользоваться дрелью.

Даже наши военные не опускаются так... и используют импортные слова - эксфильтрация, рекогносцировка

+++

Лично я за упрощение формулировок, но не в ущерб точности описания. На мой взгляд, оба термина можно достаточно полно описать простыми словами.

Попробую высказаться коротко, терминология это важно в определенном смысле, так как позволяет говорить на одном проф. языке, поэтому упрощение не должно быть в ущерб смыслу. Кроме того, следует максимально использовать уже устоявшиеся термины в смежных областях. Смежная область, в данном случае военная и там уже есть термины: рекогносцировка и эксфильтрация, по сему вернее использовать именно это термины и не придумывать велосипед.

Далее, "разведка" - как многие верно отметили, является более общим термином и без контекста вводит в заблуждение с стратегией. Например цель всей операции - это раз может быть разведка. Тогда как рекогносцировка чисто операционная составляющая, обозначающая техники связанные с получением необходимых данных для начала операции.

По теме дискуса, мне показалось интересным почитать "СТРУКТУРНО-ФУНКЦИОНАЛЬНАЯ МОДЕЛЬ
ТЕРМИНОЛОГИЧЕСКОЙ КОМПЕТЕНТНОСТИ СПЕЦИАЛИСТА" ( https://psyjournal.spbu.ru/article/download/4943/4283/ )

Пару выдержек:

1)
В рамках когнитивно-деятельностного подхода терминология рассматривается
как результат когнитивной деятельности специалистов, заключающейся в концептуализации и вербализации профессиональных знаний. В результате формируются
структуры знания, которые получают свою репрезентацию в виде терминов. В парадигме когнитивного терминоведения термин рассматривается как один из способов
вербальной репрезентации специального знания, представляющего информационно-когнитивную структуру, аккумулирующую специальные знания, необходимые в процессе научной и профессиональной коммуникации, а также в профессиональной и научной деятельности

2)
В качестве показателей проявления информационного компонента выступают:
— распознавание, понимание отличительных признаков термина и воспроизведение его дефиниции;
— знание и понимание того, какой термин обозначает то или иное понятие,
знание и понимание специфики понятийно-терминологического аппарата
предметной области профессиональной деятельности, структуры понятия,
способов образования понятий и терминов, определения логико-лингвистических связей;
— знание и понимание того, как использовать профессиональные термины
в общении со специалистами;
— установление связей между терминами, их систематизация и классификация

Пообщались с @yugoslavskiy, пришли к тому, что в текущей дискуссии ходим кругами.

Отвечу на оригинальные два выделенные жирным вопросы по-новой:
1) На мой взгляд, стоит - это бинарный ответ на бинарный вопрос
2) Сие есть вопрос дискуссионный и в моменте я скорее рассчитываю на мнения сообщества. Однозначного ответа лично у меня при такой широкой постановке на этот вопрос нет... (на мой взгляд могут перевесить как преимущества, так и недостатки)

Для поддержания прозрачности процесса — я не пытался переубедить Павла в личке (:
Предлагал иной подход к ответу на эти вопросы:

Я единственное что не согласен, что чтобы ответить как-то на вопросы, необходимо предварительно нечто доказывать :)

А сменить подход к обсуждению точно стоит, ибо иначе, как мы сошлись, мы и правда ходим кругами

угу, контекст теряется в отрыве от сообщения которое идет выше, в котором “специализированные термины” раскрываются как “слова, сложные для восприятия неподготовленной аудиторией”

Свели в одной точке наконец :) уф

я думаю что это как раз и есть способ поиска истины, исключающий влияние когнитивных искажений [1] за счет кросс-валидации озвучиваемой позиции другими экспертами той же области.
предубеждения, осознанные и неосознанные установки которые мы рационализируем [2] — это нормальное явление.
на то мы и экспертное сообщество, потому мы и ведем этот дискурс, чтобы нас могли поправить, если мы свернем не туда (:

[1] https://ru.wikipedia.org/wiki/Список_когнитивных_искажений
[2] https://ru.wikipedia.org/wiki/Рационализация_(психология)

🙏🏽

Всем привет!

Вобщем, я проанализировал рунет за последние 200 лет, и вот что выяснил. Шучу) Но текста будет много.
На основе сообщений Павла Кузнецова (@stonemonkey) и Алексея Синцова (@Eik00d) я сформулировал следующий тезис:

> Необходимо уходить от общих названий тактик («разведка») и стремиться к наиболее точным, конкретным («рекогносцировка»).

Используя один из законов формальной логики [1], выводим второй тезис, равный первому по смыслу:

> Объем понятия [2] "тактика" необходимо уменьшать (т.е. необходимо уменьшать совокупность включенных в него объектов, поскольку «разведка» включает в себя «рекогносцировку»).

Я попробую доказать обратное:

1. ATT&CK — это ментальная модель [3] процесса кибератаки; всего процесса, целиком.
2. Тактики делят бесконечное множество известных и (пока) неизвестных вредоносных поведений на 14 категорий (классов) по принципу (на основании) различия тактических целей атакующего [4].
3. Тактики разделяют общий объем (совокупность всех вредоносных поведений) на 14 частей [5].
4. Сумма объемов этих 14 частей должна дать нам исходный общий объем — т.е. все известные и неизвестные вредоносные поведения.
5. Таким образом, искусственное уменьшение объема какой-либо тактики как самоцель является абсурдом.

С позиции выделения категорий/классов, необходимым и достаточным уровнем точности для названия тактики Reconnaissance является "сбор данных" или "сбор сведений", как определение отдельной тактической цели. Официальный гайд [6], а также текущий набор названий тактик, указывают на желательность (необязательность) добавления наступательного контекста. С этим блестяще справляется слово "разведка".

Если мои суждения верны [7], то у нас нет необходимости уходить от общих названий тактик и стремиться к более точным, конкретным. Но это, конечно же, не означает что для использования специальных терминов нет других важных причин. Однако нам предстоит их выяснить и по существу сравнить их преимущества с тем, что нам может дать понятность (простота) определений.

Особенно важно услышать мнение по данному вопросу от Теймура Хеирхабарова (@Heirhabarov), Сергея Солдатова (@votadlos) и Олега Скулкина (@Ox0136), как авторов, использовавших в своих публикациях сложные для понимания термины в названиях тактик. Вероятно, вы наименее заинтересованы в подобных изменениях.

Если ставить вопрос именно так "нужно ли использовать сложные термины", я предлагаю не ставить вопрос в таком ключе, ибо тогда мне требуется определение для "сложный термин". Я не шучу даже. Ибо задача любого перевода терминов, найти или использовать термин наиболее близкий по смыслу (я так вижу вопрос) и в данном ключе я не оперирую "сложностью терминов", для меня приоритет "точность термина" с минимальным уточнением контекста. Это сугубо мое личное восприятие проблемы, конечно...

Много тут военных? )) В целом в att&ck есть, на мой взгляд, идеологический конфликт. Суть которого в том, что американцы стремятся рассматривать кибератакующего в военном смысловом поле, а наши - скорее в криминальном. Поэтому у нас модель нарушителя и атакующий - это нарушитель, преступник. А у них - как бы одна из сторон "военного конфликта". Отсюда и уклон на военщину в терминологии, да и MITRE по сути - аффилированное с военными ведомство. Поэтому ближе видится "разведка", чем специфичная и узкая "рекогносцировка". Можно как контраргумент сказать "а как же "redteam" (чисто американский военный термин)", но в кибербезе нет русского аналога, поэтому "редтим" и точка )) но и тут можно прийти к менее популярной "эмуляции злоумышленника". Извините за флуд ;)

Так о чем тактика в МИТРЕ? Рекогносцировка - сбор данных о местности(целях атаки, периметре, что куда торчит) посредством прямого наблюдения (активный скан или сбор данных). Этот шаг в общем и нужен для планирования и проведения дальнейших действий(атакующих). Этот Термен точнее описывает то, что вкладывается именно в набор техник (тактику) как часть операции.

А разведка - это вообще может быть целью, а не тактикой. Например вся операция группы , цель - это сбор данных о месторождения нефти.

Красная команда - если надо очень) так же как и синяя. Тут просто перевод цвета

Мне тоже рекогносцировка не заходит как название, слишком сложно звучит. Но аргумент про военное имхо не должен считаться. В РФ терминология может быть важна для контролирующих органов. Они, кстати, если не сейчас в погонах, то в них недавно были и имеют связь с мин обороны.

@Eik00d про общий смысл, разве смысл всей операции не может быть в том чтобы узнать у кого что есть?)

Раз уж тут так внезапно стартовала дискуссия, замечу, что разведка не есть понятие тождественное сбору данных :) собранные данные без аналитики никому не нужны, грубо говоря :)

Да, есть в ваших словах аргументы в пользу "рекогносцировки" ) подумаю

Аргумент сложно звучит - к офицерам Российской Империи наверное. Что ж делать... Кто виноват что у нас разведка это и intelligence в том числе?

Для того чтобы продвинуться дальше, нам необходимо:

- Предъявить обоснованные претензии к существующим опровержениям (@Eik00d, пункты №2 и №3 из сводки [1] связаны с позицией, которую ты ранее оглашал). так, чтобы с ними можно было работать, например: неверный тезис (я неверно интерпретировал твою мысль), ошибочная логика доказательства, ошибочный вывод доказательства, ложные доводы и тд. Иными словами, что-то, что с чем можно начать работать.

или

- Считать приведенные в сводке [1] опровержения верными, и сформировать новый тезис, с которым мы и будем далее работать.

[1] https://t.me/attack_community/3022

это разумное мне мнение опытного эксперта-практика. более того, я уверен что это мнение довольно распространено, и вот почему:

многие, также как и я, читали твои статьи с анализом EDR с раскладкой на killchain. следили за твоей defense активностью, тк ты один из немногих представителей старой школы хакеров, которые ушли в защиту.

ты прошаренный спец, тебя знают, уважают, на тебя ровняются. так, ты сформировал некую аудиторию, которая тебе верит, на которую твое мнение распространяется. а учитывая что ты сам себе смог обьяснить эту позицию являясь спецом такого уровня, не стоит удивляться тому, что и твои последователи, и люди с твоим уровнем скилов, и просто любой другой человек со схожим уровнем осведомленности и способностями пришли к такому же выводу и в нем не сомневаются.

но это не научный подход. это не означает что данный подход - верный. я сам ему следовал, о чем писал в своем первом сообщении с объявлением намерений.

то, чем я занимаюсь, - это попытка подойти к этому вопросу с использованием научного подхода, а именно - ставить все под сомнение, критически относиться к предлагаемым решениям и искать лучшее.

я не говорю что ты не прав. я не говорю что мое мнение лучше. я предлагаю разобраться, потому что мне кажется что здесь все выглядит сложнее чем кажется. в зависимости от того что мы выберем, мы можем как крутой буст получить, так и наоборот, отдалиться от ништяков и пользы

Я прочитал наконец ATT&CK Design and Philosophy, и обсуждения тут.
Я склоняюсь к улучшению точности терминов вместо простоты, потому, что речь идёт о профессиональной терминологии, а не о общечеловеческом знании.

Аргументы про сложность погружения в контекст новичков я видел, но с ними не согласен, поскольку «сложность» (если признать, что она существует) компенсируется точностью понимания термина, после того, как новичок сверится со словарем. Я же правильно предполагаю, что словарь терминов существует? Таким образом, недопонимание в дискуссиях уменьшается, и барьер для новичков снижается на всех этапах, кроме самого начального.

Есть аргумент про разговоры за пределами профессиональной тусовки, скажем, с журналистами или PR командами. Это может быть сопряжено с трудностями, особенно, если редактор издания постарается переписывать профессиональные термины «понятным языком». Все, наверное, знают анекдот про дырки и отверстия в разделе физики про электричество? Тут, ИМХО, важно, чтобы эксперт, обещающийся с неэкспертом мог подчеркнуть, где термин, а где - обычный язык.

В общем, «рекогносцировка» и «боковое перемещение», а не «разведка» и «перемещение по сети».

Спасибо что нашел время! 🙏🏻

Ты по-новому представил тезис который уже встречался несколько раз в иных формах [1][2][3]. Похоже, его опровержение недостаточно очевидно, раз люди продолжают к нему возвращаться. Попробуем разобраться (:

Если я все правильно понял, твою позицию можно представить в виде следующего тезиса:

Названия тактик являются профессиональными терминами, а значит — решают задачу закрепления структуры знания и тп, в соответствии с определением роли термина, которое ранее привел Олег Кореев, @qudu_security [3]. Как следствие, тактики должны называться так, чтобы было понятно что это термин, а не обычная речь.

Сначала этот тезис был опровергнут неочевидно [4], затем опровержение было чуть более подрнобно описано в сводке [5]. Оно завязано на том, что задачи, которые предлагается решать с помощью профессиональных терминов (точное описание области, уменьшение недопонимания), решаются самим фреймворком по его определению. Таким образом, данный тезис является нерелевантным для текущего обсуждения.

Фреймворк выделяет группу вредоносных поведений в отдельную категорию — тактику. Эта группа вредоносных поведений всегда доступна по названию этой тактики (и по его ID, если речь о наиболее простой однозначной идентификации). Таким образом, связь тактик с техниками, и далее с мерами защиты, группировками, утилитами и пр — это и есть структура знания. За счет того, что оно закрепляется самим фреймворком, не нужно самостоятельную создавать "информационно-когнитивную структуру, аккумулирующую специальные знания" [3] отдельно от фреймворка. Оно уже предлагается в виде унифицированного, стандартного решения, которое будет одинаковым у всех. В этом и заключается одно из основных преимуществ.

Поэтому названия тактик не должны образовывать профессиональные термины; перед ними не стоит такой задачи.

Решение задачи, которая стоит перед профессиональным термином, сводится к созданию единого (в см одинакового для всех) названия тактики; оно должно быть таким, чтобы при произнесении вслух все собеседники однозначно идентифицировали одну из 14 тактик. Это то, чем мы с вами сейчас занимаемся, создавая единый перевод (: Повышение сложности названия не может быть обусловлено решением уже решенной задачи. Поэтому данный тезис был обозначен как нерелевантный [5].

***

Мне кажется, что у нас по ходу движа развилось недопонимание/рассинхронизация, и это нас оч замедляет. По доказательным линиям защитников “сложности” названий может сложиться впечатление, что мы переводим слова (термины) в вакууме. Это суперважный нюанс — мы переводим названия тактик фреймворка ATT&CK. Фреймворк создан, живет и развивается по своим принципам; решает свои задачи определенным для него образом; т.е. в соответствии с его архитектурой. Доказать или опровергнуть какую-то логику/механику/принцип нельзя в отрыве от его архитектуры, потому что для такого доказательства не может быть иного основания, кроме того, которое определяется задачами и устройством фреймворка.

Прямо сейчас идет работа по описанию принципа "достижения необходимого уровня контекстуализации" в названиях тактик. Возможно, таким образом мы выявим превое преимущество сложности, которое затем будем сравнивать с понятностью.

Также норм вариант продвинуться дальше — предъявить претензии к изложенному в данном сообщении опровержению (или к любому другому).

Я за любой вариант (:

[1] https://t.me/attack_community/2767
[2] https://t.me/attack_community/2883
[3] https://t.me/attack_community/2896
[4] https://t.me/attack_community/2766
[5] https://t.me/attack_community/3022

Меня несколько смущает, что оба возражения - твои, а тезисы - разных людей. Возможно, это означает, что консенсус всё-таки в том, чтобы использовать более точные термины.
При этом, мне не кажется, что используя более узкий термин приходится ограничивать суть беседы. Мне кажется, это ортогональные сущности.
Кроме того, я не согласен с тем, что более общие термины упрощают жизнь новичкам. Я писал о том, что точный, однозначный термин, упрощает понимание, поскольку не создаёт разночтений.

> Меня несколько смущает, что оба возражения - твои, а тезисы - разных людей.

Если честно, меня тоже.

Еще меня смущает что наибольшую заинтересованность в исходе проявляют русские эмигранты)))
Один в Германии, другой в Испании, третий где-то в Азии (не уверен что могу раскрывать твое местоположение).
Складывается впечатление что нам это больше всех надо) Это забавное явление, на мой взгляд.

Сложные слова - определение надо. Вроде ж все трансцендентально, бери тот термин, что точнее описывает суть техник и тактику и подходит в контексте идеологии фреймворка )) очевидно, что сложность слова уже не играет роль, когда человек начал изучать тактики, он уже там где надо и какое бы слово тут не встретилось, для него это данность бытия, тактика как есть. Просто нужно использовать одно и то же слово, а не 10 разных для одного термина, что б понимать легче

> Сложные слова - определение надо.

все есть: https://t.me/attack_community/2830

Плохо. "Исследование"... Норм термин, я залип

А что такое эксплойт и уязвимость?

)) ну где-то плохо, а где-то неплохо. Это уже подход. То, что несколько стадий имеют спорное наименование - это не катастрофа ))

Вот прям в точку :)

У нас тут жёсткий бой за каждый термин, никаких полумер))

Они ж не заявляют, что это утвержденная гостом классификация, обязательная для всех )

Все же “никто” — не лучшая формулировка. Неподготовленная публика (: Например коллега из команды DevOps. C-level. Много кто)

)) это, да

Коллега из дев-опс не поймет 10ка техник без подготовки

До техник мы пока не дошли) Давай попробуем держаться топика, надо постепенно закругляться)

Суиь в том, что если начал учить ИБ проблемы, пошел в МИТРЕ, то это и началась твоя подготовка )

То есть, если взял в руки MITRE ATT&CK, то ты обязательно должен, что называется, браться за дело серьезно и основательно?)
Сидеть читать разбираться, и тактики, и техники, и тд?)

Давай попробуем этот тезис обосновать?)

Если я взял в руки что-угодно, для использования в работе или обучения - то я должен понимать зачем оно мне, как это мне поможет, а для этого надо понимать ЧТО я взял в руки

в этом мы с тобой, что называется, на одной волне) в чем наше противоречие?
я как раз пытаюсь сделать так чтобы люди поняли на что они вообще смотрят.

Ну типа и вот он видят рекогносцировка и что?

Так для этого нужно объяснять киберкиллчейн и как матрица с ними соотносится

В словаре Даля слово есть, так что все)

А то был у меня случай… когда спросили почему матрица а не киберкиилчейн :)

Легко ответить кстати, постоянно спрашивают такое

я хотел бы начать с того, чтобы названия тактик прошли первичный когнитивный фильтр, который в эпоху клипового мышления, как вы все знаете, работает по принципу понятно => ок поехали дальше; не понятно => досвиданья. то есть, сделать названия тактик понятными. дальнейшее раскрытие связей с киллчейном, другими штуками — это задачи завтрашнего дня, так сказать

Да, но зачем?

Так если ваш девопс не может понять зачем оно ему, то может проблема не в терминах))

Киллчейн должен быть сначала. Имхо.

мой поинт в том, что многим это слово будет непонятно.

а значит, не будет создавать образ и связь с существующими знаниями, не будет не то что рассмотрено критически, оно вообще до центра обработки не доберется.

а это очень важно, чтобы оно добралось. прошло этот фильтр. именно так по большей части работает восприятие нового — через известный опыт, от простого к сложному.

собственно, я задал вопрос — ребз, а нам вообще нужны эти сложные слова?
пока не получается обосновать такую необходимость.

Непонятно - гулить/словарь. Оно однозначно трактуется

чем это обосновано?)

Всегда будут «но»

я скорее про “давайте использовать сложные слова которые придется гуглить, потому что”)

Рекогносцировку не нужно гуглить

Так это и есть не верный подход. Если это официальная терминология, то это проф область, товарищ девопс сам хочет ее коснуться и тут ничего не поделать - выучит пару слов.

> Если это официальная терминология, то это проф область

Давай сформируем тезис который это обосновывает)

Любишь ты формулировать )

Эм. Рекогносцировку я изучал в школе (правда на местности) на уроках…

Не) Просто стараюсь сделать нашу мотивацию и ход обсуждения очевидными для читателей.

Они уже поняли, что мы психи, которым нечего делать)

Это похоже на субъективный опыт, а как я уже писал ранее [1]:

> Доказать или опровергнуть какую-то логику/механику/принцип нельзя в отрыве от его архитектуры, потому что для такого доказательства не может быть иного основания, кроме того, которое определяется задачами и устройством фреймворка.

Давай докажем это через архитектуру и задачи фреймворка (:
Могу даже поделиться хорошим источником данных — интервью и выступление Blake Strom:

https://youtu.be/u8Fnwb-1kMg
https://youtu.be/qAPC4NVJvrI

Он подробно рассказывает о том как это дело создавалось, что именно зацепило дирекцию, первую версию матрицы покажет, интересностей много. Думаю даже наверное стоит перевести эти видео, озвучить, типо. Если кому-то интересно — пишите, займемся вместе (:

[1] https://t.me/attack_community/3648

Еще о том где что должно (или не должно) использоваться интересно рассказывал Джон Ламберт на первом ATT&CKCon [1]. Тоже достойный материал для раскрытия позиции)

[1] https://www.youtube.com/watch?v=yslLIqfOKCU

Нам нужны не сложные слова, а точные и понятные, которые отражают суть тактики и подмножества техник в ней

> Дело не у том, что разведка включает что-то, а а том что слово "разведка" требует доп контекста, а рекогносцировка нет.

Я предлагаю вернуться к вопросу пригодности или непригодности слова “разведка” в какой-то конкретной тактике когда мы будем этот вопрос обсуждать.

Cейчас идет обсуждение о необходимости использования сложных для восприятия слов в названиях тактик.

Ок, мне кажется, что такой вопрос просто не актуален. Это не проблема, так как нет определения "сложное слово". Это субъективный опыт слушающего 8))))

> так как нет определения "сложное слово"

я приводил тебе ссылку выше на определение. UPD: дублирую для читателей [1]

> мне кажется, что такой вопрос просто не актуален.

в таком случае, чего ты хочешь добиться участвуя в этом обсуждении? %)

[1] https://t.me/attack_community/3780

Что б выбрали точное и ёмкое слово в качестве термина для атакующей тактики )

Согласно закону логики [1], с помощью которого я опроверг [2] необходимость увеличения точности названия тактики, точность и емкость — это вещи обратно пропорциональные. Так, при увеличении точности понятия, его емкость уменьшается.

Поэтому «точное и ёмкое» — это что-то, мягко говоря, неочевидное.

Опиши пожалуйста что именно ты предлагаешь и как это связано с текущим топиком (:

[1] https://ru.wikipedia.org/wiki/Закон_обратного_отношения_между_содержанием_и_объёмом_понятия
[2] опровергаемый тезис обуславливал необходимость использования сложных слов стремлением к точности: https://t.me/attack_community/2968

Читаю и все не пойму - сложность-то где?

Согласно твоей же логике, нет смысла использовать collection и discovery

Тут мне кажется нужно не искать «обратные отношения» и «обратные пропорциональности», а искать баланс

> Согласно твоей же логике, нет смысла использовать collection и discovery

Вообще, я опираюсь на архитектуру фреймворка и на законы логики в своих рассуждениях. На мой взгляд, слишком громко было бы сказать что это “моя” логика. Но звучит приятно, спасибо (:

> Это ж входит в более общее понятие, разведка

Я хотел бы тебя попросить не додумывать за меня, и не подменять тезис [1]. Это считается неприемлемым ходом для профессиональных дискуссий, психологической уловкой [2].
То о чем ты пишешь к моим высказываним не относится. Из того что я говорил выводы которые ты описываешь не следуют.

Тем не менее, отвечу на тезис, который ты приписываешь к моим высказываниям:

Уровень точности должен быть таким, чтобы можно было однозначно отличить одну тактику от всех остальных. Этот аспект я более подробно описал в одном из опровержений [3].

Названия тактик Collection, Discovery и всех остальных, будут очевидным образом друг от друга отличаться. Какие именно слова для этого будут использоваться (разведка или не разведка) — вопрос завтрашнего дня. Иными словами, к текущей дискуссии (о необходимости использования сложных для восприятия слов) он отношения не имеет. Мы сейчас говорим о логике которая распространяется на все тактики, а не о конркетных версиях перевода.

[1] https://ru.wikipedia.org/wiki/Подмена_тезиса
[2] https://ru.wikipedia.org/wiki/Спор#Психологические_уловки
[3] https://t.me/attack_community/2968

А теперь без слова "военная"

Алексей, у меня складывается впечатление что ты игнорируешь мои сообщения)
Я еще раз продублирую ключевое сообщение, и надеюсь что мы продолжим обсуждение на одной волне:

Так. В общем, теперь и я осилил "философский" трактат по ATT&CK и готов вернуться к обсуждению =)

Отвечаю на сообщение, содержащее последнее твоё опровержение. Знаешь, с точки зрения духа самой ATT&CK и целей нашего тут симпозиума мне, на самом деле, не осталось с чем спорить. Собирая в кучку мои представления и гайдлайны из трактата, действительно, желателен наступательный контекст, именование тактики как ёмкого ответа на вопрос "зачем?", плюс ещё некоторые отдельные моменты, на которые мы наткнёмся в других тактиках, но о них и поговорим отдельно.

Итак - к опровержению. Я, как избыточную, подло пропускаю попунктную часть про уменьшение объёма и, читая сразу с "С позиции выделения категорий/классов ..." до "... (простота) определений", просто напишу да, с моей колокольни сейчас всё так.

PS. Погружаться в перевод конкретной тактики в данном чате не буду, но в части оной моя позиция также претерпела определённые конструктивные изменения.

спасибо большое что нашел время и силы 🙏🏻

Я давно общал подумать и ответить @yugoslavskiy ... но я реально не силен в формальной логике и весм этим выкладкам академическим, но раз обещал, то отвечу.


Короче, я не вижу связи между [1]

> Необходимо уходить от общих названий тактик («разведка») и стремиться к наиболее точным, конкретным («рекогносцировка»).

в формулировке в виде:

> Объем понятия [2] "тактика" необходимо уменьшать


То есть опровергая [2] никак не протеворечит [1]. Отсюда все последующие выводы не совсем по теме предложения [1].


Я считаю, что проблемное слово в утверждении [2] это "безусловное необходимо".


То есть, задача(в том виде, что я формировал ее, откдо вышло утверждение [1] состоит не в том, что бы "уменьшить" термин, а в том, что бы он передавал четко смысл тактики и общал множество входящих в нее техник. Смысл ровно в том, что бы термин используемый для тактики, давал четкое понимание о задаче, которую решает атакущий в рамках операции разбитой по MITRE матрице, не притягивая за уши, но и требущего дополнительного контекста.

Алексей (@Eik00d), спасибо что нашел силы и время!

# про общие термины, точность/контекст

Значит, у тебя претензия к тезису "Необходимо уходить от общих названий тактик («разведка») и стремиться к наиболее точным, конкретным («рекогносцировка»)". Выходит, я не так понял твою позицию. Каюсь.
Дабы не сложилось впечатление что это было сделано намеренно, приведу сообщения на основе которых я его составлял:

Даже наши военные не опускаются так... и используют импортные слова - эксфильтрация, рекогносцировка

Это твои первые сообщения по теме. Я тогда удалил их из группы [1], пообещав восстановить позже.

В моем опровержении я указал [2] что тезис составлял на основе сообщений от тебя и Павла Кузнецова (@stonemonkey):

2) Перед простыми, но корректными - ни в чем. Перед некорректными - во всем :) в случае с reconnaissance термин "разведка" некорректен п.м.с.м., так как допускает слишком широкую трактовку действий

Отсюда и возникло "стремление уйти от общего к более точному". Если я что-то напутал, то не специально. Насколько можно судить, у Павла к данному тезису претензий нет (@stonemonkey, дай знать если это не так).

Раз ты говоришь что у тебя была иная мысль, давай проясним ее. Ты упоминаешь точность ("четкость"), контекст. Но итоговое мерило, такое, которое собравшиеся смогли бы понять и распознать как объективное, общее для всех тактик, я в твоих словах не нахожу. Также не ясна логика, которая обуславливает описываемое тобой стремление. Опиши пожалуйста что конкретно ты подразумеваешь, почему ты так думаешь, и как это связано с архитектурой и/или задачами фреймворка.

Так мы сможем продвинуться дальше (:

[1] https://t.me/attack_community/2863
[2] https://t.me/attack_community/2968

Мне тяжело стало вчитываться, и неделя, прямо скажем, огненная, но в отношении конкретно вариантов «разведка» - «рекогносцировка» у меня ощущение, что консенсус сообщества на стороне второго, даже если требования сформулированы так, что формально ты аргументируешь за первое. И, кажется, что через большую простыню аргументов не все готовы пробираться, поэтому дискуссия останавливается.

Спасибо за твой комментарий🙏🏻 Это твоя окончательная позиция?

Я тоже склоняюсь к мнению Влада, так что я тоже за второй вариант (свою позицию я озвучивал)

Пожалуй. Устал от этой дискуссии, не уверен, что она настолько того стоит. Можно было бы перейти к чему-то поважнее.