Статус: Дискуссия активна и открыта для новых участников.

Принять участие: Для получения возможности отправлять сообщения необходимо пройти верификацию.

Проблема: Официальный FAQ MITRE ATT&CK оказался крайне нераспространенным документом в русскоязычной среде, при всей его познавательной ценности для сообщества как в перспективе, так и для текущей работы по созданию единого перевода названий тактик.

Цель: Совместно разработать перевод официального FAQ MITRE ATT&CK. Опубликовать перевод на сайте сообщества и в блоге сообщества на Хабр.

Организация совместной работы:

1. Черновик перевода доступен в Google Docs, спорные формулировки выделены в столбце в "Комментарий"
1. Спорные формулировки обсуждаются и совместно обосновываются в данной группе. Совместное решение отражается в черновике
3. После того как спорные вопросы будут разрешены, изменения из Google Docs будут добавлены в ветку faq репозитория сайта сообщества на GitHub
4. GitHub Pull Request в master ветку сайта будет принят и изменения вступят в силу (веб-сайт будет обновлен)

Привет @Anton_Shipulin! Спасибо что решил поучаствовать (:

Среди перевода встречается несколько упоминаний ATT&CK for ICS и соответсвующих описаний.
Будет круто если прокомментируешь:

1. В вопросе “Что такое АТТ&СК?”:

ATT&CK описывает вредоносные поведения направленные против нескольких видов инфраструктур:
[…]
- ATT&CK for ICS — промышленные сети, автоматизированные системы управления;

собственно, я решил высокоуровнево описать что это АСУ, не АСУ ТП/SCADA/АСКУЭ, без конкретики, максимально обще.

2. в вопросе “К каким технологиям применим ATT&CK?”:

промышленные сети, автоматизированные системы управления (АСУ ТП);

тут также написал АСУ и в скобках АСУ ТП. Я не упоминаю вендоров или какие-то конкретные системы потому что по сути это импровизация — в официальном FAQ по какой-то причине нет упоминаний об ATT&CK for ICS. А для Enterprise и Mobile довольно подробно описаны технологии и перечислены операционные системы. Я подумал, будеть правильно также подробно описать и домен ATT&CK for ICS, но для того чтобы перечислить какую-то конкретику нужно в этом хорошо разбираться. Поэтому я решил обратиться к тебе (:

Мы еще будем уточнять у команды ATT&CK насколько это корректный ход в целом, но я думаю что препятствий мы не встретим с их стороны.

Всем привет!

1. Про термины это вечно неоднозначный вопрос. Например, в российских документах встречается такие аналоги ICS

a. Автоматизированные системы управления (ист. ФСТЭК 239)
b. Автоматизированные системы управления производственными и технологическими процессами (ист. ФСТЭК 31)
c. Системы промышленной автоматики и контроля (ист. ГОСТ Р МЭК 62443-2-1-2015)

Мне например нравится универсальный вариант "Системы промышленной автоматизации". Я бы использовал его

Над вторым вопросом думаю

спасибо большое! сейчас заменю в черновике 🙏🏻

2. По аналогии с MITRE ATT&CK Enterprise, тут должна быть смысловая структуризация объектов, техники на которых описаны в матрице.

Enterprise IT systems covering Windows, macOS, Linux, Network infrastructure devices (Network), and Container technologies (Containers); cloud systems covering Infrastructure-as-a-Service (IaaS), Software-as-a-Service (SaaS), Office 365, Azure Active Directory (Azure AD), and Google Workspace; mobile devices covering Android and iOS.

В матрице ICS они не описаны детально по вендорам, операционным системам, протоколам. Но описаны категории активов, которым релевантны техники. Поэтому я бы предложил использовать в FAQ их
https://collaborate.mitre.org/attackics/index.php/All_Assets

Перевод:
Серверы управления, серверы архивных данных, инженерные рабочие станции, полевые контроллеры/RTU/PLC/IED, человеко-машинные интерфейсы (HMI), серверы ввода/вывода, системы противоаварийной защиты (SIS), терминалы релейной защиты и автоматики

И еще в списке явно нет, но я бы добавил: …, устройства промышленных сетей

я не надеялся что ты так быстро вольешься в процесс и на все вопросы ответишь :D

поэтому мы тут пока вдвоем, объявление я еще не делал (надеюсь сделать сегодня).

если тебе интересно поучаствовать в дальнейших обсуждениях по это у топику или проверить/откомментить другие части FAQ - я буду очень благодарен 🙏🏻

тогда да, мне нужна будет твоя гугловая почта чтобы уже по тексту комментить в гугл документе.

если нет - то считай все, уже очень помог (: то что ты посоветовал я внесу сам.

разве что я бы еще уточнил как можно сократить эту часть с ассетами, все что перечислено наверное не стоит упоминать (будет несоразмерно больше инфы в сравнении с Enterprise в этом пункте). Хотя может оно и норм? 🤔

Я бы все таки не стал сокращать часть с асетами, т.к. это то что пишет сама MITRE. И это логично

разумно. меня это смутило исключительно на контрасте. сделаем как ты предлагаешь 👍

Ну вроде как раз нет контраста про Enterprise как раз детально в FAQ написано

Обновил черновик 👌

👍

Привет.
Пробежался по диагонали по [FAQ на русском](https://attack.community/faq_draft_v1.html).
Нашел одну ошибку в пункте Как часто ATT&CK обновляется?: Вместо "Раз в два года." должно быть "Дважды в год (два раза в год)".

Спасибо! Поправлю в черновике 🙏🏻

Необходима валидация/помощь коллег из сообщества DevSecOps:

В официальном FAQ есть два вопроса, в ответах на которые упоминаются облачные технологии и контейнеры:

1. Что такое АТТ&СК? (What is ATT&CK?)

- "ATT&CK for Enterprise, which covers behavior against enterprise IT networks and cloud"
=>
- "ATT&CK for Enterprise — корпоративные сети и облачные вычисления"

2. К каким технологиям применим ATT&CK? (What technologies does ATT&CK apply to?)

- Enterprise IT systems covering Windows, macOS, Linux, Network infrastructure devices (Network), and Container technologies (Containers); cloud systems covering Infrastructure-as-a-Service (IaaS), Software-as-a-Service (SaaS), Office 365, Azure Active Directory (Azure AD), and Google Workspace;
=>
- Корпоративные инфраструктуры под управлением Windows, macOS и Linux; сетевые устройства и технологии контейнерной виртуализации; облачные вычисления, такие как Инфраструктура как услуга (IaaS), Программное обеспечение как услуга (SaaS), Office 365, Azure Active Directory (Azure AD) и Google Workspace.

Предлагаю свой вариант перевода этих двух пунктов:

- Что такое ATT&CK?
- ATT&CK представляет собой базу знаний о поведении злоумышленников и таксономии их действий в ходе кибератак. ATT&CK состоит из двух частей: Корпоративные ATT&CK, описывающие атаки на корпоративные сети и облачные инфраструктуры, и Мобильные ATT&CK, описывающие атаки на мобильные устройства.

- К каким технологиям можно применить ATT&CK?
- Корпоративные ИТ-системы, включающие в себя системы под управлением Windows, macOS и Linux, а также устройства сетевой инфраструктуры (сеть) и технологии контейнеризации (контейнеры); облачные системы, включающие в себя инфраструктуру как услугу (IaaS), программное обеспечение как услугу (SaaS), Office 365, Azure Active Directory (Azure AD) и Google Workspace; мобильные устройства под управлением Android и iOS.

Посмотри пожалуйста в гугл док, там объяснения некоторых пунктов и мотивации изменений

Я попробую разбить твою версию на отдельные пункты. Давай их обсудим безотносительно облачных штук, потому что по ним очень хотелось бы ответ получить именно от сообщества DevSecOps.

🆗

по этому поводу я оч долго думал.

ребята из ATT&CK придерживаются позиции без оценок мотивации или действий — у них все оч отстраненно, мол есть противник и все. хакер, злоумышленник, преступник — это все они как-то опускают. я верю что нам тоже стоит такого подхода придерживаться. и я нашел нейтральную альтернативу опять таки у американцев — в их законодательстве есть формулировка “компьютерный нарушитель” — “computer trespasser”. Оно кажется наиболее близким к cyber adversary, при этом может использоваться на русском. т.е. кибер противник — это вообще мимо, а то как-то худо бедно подходит. у нас в законодательстве тоже эта формулировка (нарушитель) используется, насколько можно судить.

но все это спорно, конечно. я не уверен в этой формулировке, поэтому буду рад услышать твои доводы в пользу той или иной версии.

Нет. Что это база знаний, в которой описываются различные поведения злоумышленников (предполагаю, что это тактики) и описываются наборы типичных действий злоумышленников (предполагаю, что это техники и подтехники).

в этом я уверен на все 100. база знаний и фреймворк — это две разные сущности, которые подаются отдельно.
одно — вики для аналитиков чтобы учиться (отчеты, контент), другое — закрепленная структура взаимосязей (одна из версий перевода слова “фреймворк”), все что относится к классификации, связи объектов, что на каком уровне абстракции находится, что есть и в каких отношениях между собой находится.

Обосновать можно аналогией с пунктами и подпунктами

да, в классификации также указано что сущности делятся на классы, подклассы, подмножества и тд.
с позиции русского языка корректно использовать приставку “под-”, а не “суб-”:

- под: “в безударной позиции при добавлении к существительным образует существительные со значением части более крупного объекта”
- суб: “при добавлении к разным частям речи образует слова со значением расположение под чем-либо, ниже чего-либо или около чего-либо”

но “подтехника” неблагозвучно ведь. или тебе ок?

Мне кажется база знаний на русском и английском не совсем одинаково воспринимается. У нас, как я понимаю, база знаний - это по большей части тексты на вики, а на англ - это скорее некий репозиторий любой информации по определенной теме. Может стоит создать некий глоссарий, в котором будут даны описания используемых терминов, чтобы не было ни у кого двоякого восприятия какого-то определения. Например: злоумышленник - это лицо, пытающееся получить несанкционированный доступ к инфраструктуре организации, используя законные (поиск инфы на общедоступных ресурсах) и незаконные (кража учетки) методы.

по поводу глоссария в рамках FAQ я тоже не раз задумывался. хороший поинт, давай займемся сразу как запилим FAQ)

Не только непонятные, но и которые могут двояко трактоваться. Например, уязвимость. Это можно расссматривать как слабую парольную политику и как некорректное поведение приложения, т. е. в первом случае это может быть фичей, а во втором - ошибкой в коде. Ну, как-то так приблизительно

я имел в виду что не знаю чем обосновать выбор между:

- калькой (суб/саб-)
- и переводом по правилам (под-)

сомнения подкрепляются тем, что «техника» - это калька

"Злоумышленник" - это, на мой взгляд, как раз наиболее нейтральное и точное слово.
Вот определение:
ЗЛОУМЫ́ШЛЕННИК, злоумышленника, муж. (книжн. офиц. устар.). Человек, совершивший преступление с заранее обдуманным намерением; замысливший какой-нибудь дурной, преступный поступок.
В нашем случае это как раз кто-то что-то замышляющий. Не факт, что у него что-то получится, но из контекста понятно, что всё это делается с какими-то корыстными целями.
Нарушитель - какое-то не совсем корректное слово, ибо никакого нарушения в поиске информации в открытых источниках нет, а вот злоумышленник может это делать с каким-то злым умыслом, т.е. использовать полученную информацию для дальнейших атак на предполагаемую "жертву".

Я бы еще не отказывался от сАбтехники и вариаций написания через дефис. Но касательно дефиса я совершенно не в теме и исхожу исключительно из того что оно есть в оригинале. Если у тебя есть доводы против дефисов — опиши пожалуйста. Так срежем скоуп в два раза.

Однако ключевым выводом из твоего сообщения я вижу следующий:

Твердого обоснования для выбора в пользу того или иного варианта у нас нет.

Если все так, я не вижу причин по которым мы не должны воспользоваться голосованием, как это прописано в принципах ДК:

> Голосование используется [...] в случаях, где обоснование [...] не представляется возможным.

Быть может, этот вопрос стоит задать специалистам-терминологам? Или можно запускать голосовалку на все сообщество?

Если идея с голосованием тебя устраивает, я предлагаю описать в одном сообщении всю подноготную (на которое будем ссылаться из голосования для тех кто захочет изучить вопрос досконально) и предложить сообществу след варианты:

- подтехника
- под-техника
- субтехника
- суб-техника
- сабтехника
- саб-техника

(либо, если у тебя есть претензии к дефисной форме или приставке сАб, давай их проясним и все ненужное удалим)

Довод против дефисов == правило русского языка:

Пишутся слитно:
1. Все сложносокращенные слова, например: колхоз, эсминец, профсоюз, автотракторный.
2. Слова с приставками (включая вне-, nосле-, сверх-, а-, анти-, архи-, инфра-, контр-, ультра- и др.), а также с начальными составными частями пан-, квази-, псевдо- и др., например: довоенный, внеплановый, подотдел, аморальный, сверхприбыль, архинелепый, инфракрасный, контрудар, ультрафиолетовый, междуведомственный, панамериканизм, квазиученый, псевдоклассический.

В примерах есть слово подотдел.

Поддерживаю: точно должно быть слитно, а не через дефис.

По поводу выбора самого префикса или приставки. Как ни странно, не нашла в словаре ни "субтехники", ни "подтехники". Ни "сабтехники". Можно порассуждать. Я бы посмотрела со стороны распространенности приставки (префикса).

Префикс саб- кажется наименее распространенным. Слов с ним немного, мне разве что "сабвуфер" вспомнился. Есть наверняка новые заимствованные слова на саб-, но мне сходу не нагуглились.

Суб- более распространена. Слова с этим префиксом могут быть заимствованы целиком, в некоторых словах его даже не выделить как приставку: субмарина, субстанция, субстрат. Это не похоже на наш случай.

Но есть и другие слова, в которых суб- спокойно отделяется и означает под-:
стратосфера — субстратосфера,
тропики — субтропики,
аренда — субаренда.
Сюда можно было бы отнести пару "техника — субтехника".

Под- наиболее распространена как приставка, ее можно прикрутить к разным словам и она будет понятна: что-то подчиненное, часть чего-то, что-то внизу или направленное снизу или вниз: подкомитет, подземелье, подводный, подкожный, подпрыгнуть. То есть понятная на русский слух приставка.

В нашем случае она мне кажется более подходящей еще потому, что есть близкие понятия с такой же приставкой: подгруппа, подвид, подмножество, подпункт, подкатегория.

@JZDLN @olchmosk спасибо большое! Доводы против дефисов серьезные, вопрос можно закрыть, в список аргументов я его внесу.

Ваши примеры (подотдел, подгруппа, подвид, подмножество, подпункт, подкатегория) не оставляют сомнений в том что выбор в пользу "под-" является наиболее очевидным. Голосование в текущих условиях заводить не стоит, у большинства людей сейчас есть заботы покруче. Поэтому предлагаю на том обсуждение о префиксе и завершить, остановившись на "подтехнике".

> Нарушитель - какое-то не совсем корректное слово, ибо никакого нарушения в поиске информации в открытых источниках нет, а вот злоумышленник может это делать с каким-то злым умыслом, т.е. использовать полученную информацию для дальнейших атак на предполагаемую "жертву".

Ты прав. Нарушитель не подходит.

К "злоумышленнику" у меня претензия только в разрезе моральной оценки ("зло") в корне слова. Но в целом за отсутствием альтернатив, он кажется оптимальным. Давай тогда на нем и остановимся, я поправлю черновики.

Поправил черновик в Google Docs, использовал "злоумышленник" и "атакующий" в части описания фреймворка.

создан обновляемый список задач (TODO)

У данного слова просто нет множественного числа в русском языке (по крайней мере пока).

привет! у слова “техника” тоже нет множественного числа.

Мне на это прям нечего возразить. Снимаю аргумент. Видимо для меня слово "техники" уже достаточно распространено во всех сферах языка (собственно, как и слово "настройки", у которого тоже нет мн. ч.), а вот слово "поведения" как-то непривычно звучит (возможно только для меня). Поэтому я бы предложил выбрать "варианты поведения".

спасибо 🙏

принимать иную точку зрения, как показывает текущая обстановка — высшая благодетель, на которую готовы очень немногие.

> слово "поведения" как-то непривычно звучит (возможно только для меня)

не только для тебя) я в начале завис на нем. но потом к нему же вернулся, обосновывая это тем что калька уже прижилась, и кажется ничего особо не нарушает.

на мой взгляд, этот случай еще раз подчеркивает необходимость создания глоссария. Ты предложил сделать это 12 февраля, больше месяца назад. Мы договорились вернуться к этому после завершения работы по переводу FAQ. После этого со мной связался один из админов крупных ИБ групп ровно с такой же задачей — ему нужен был глоссарий по ИБ. Мы договорились объединить усилия и базовый ИБ глоссарий составить на сайте нашего сообщества. Эта штука взлетит. Так вот, слово "поведение", как и "техника", обязательно должны быть указаны в глоссарии как кальки, с корректными версиями перевода.

чтобы продвинуться дальше, нам нужно обосновать отказ или принятие "поведений", т.е. мн числа. таким образом читатель сможет увидеть список аргументов на основе которых мы принимали решение. давай добьем текущие тезисы:

1. Против: Поведения (мн ч) нет в языке, что явно указано в неком словаре (не понятно насколько это блокирующий фактор, и является ли он таковым вообще)
2. Против: Поведения (мн ч) — плохо звучит. Я субьективно согласен о чем писал в первом сообщении. Однако не вижу это решающим фактором
3. За: Поведения (мн ч) — прижилось, находится в употреблении и не подвержено изменениям (в отличие от названий тактик), поскольку это фундаментальная сущность фреймворка

По поводу отметки "нет мн. ч." в словаре: со временем, если слово употребляется во множественном числе в речи, оно может появиться в этой форме и в словаре.
В словаре Ушакова есть такая пометка для слов "техника" и "поведение". Но этот словарь издан в 30—40-х годах, терминов и значений, которые сейчас используются, там может не быть. Есть еще словарь Ожегова, он чуть более поздний и переиздавался 2000-х.
Наиболее современный сейчас это Большой толковый словарь под редакцией Кузнецова 2014 г.
В словаре Кузнецова пометки про мн. ч. для слов "техника" и "поведение" уже нет.

это однозначно в избранное (: спасибо!

я опубликовал текущую версию черновика на хабр, статья ожидает модерации.

попробуем привлечь больше участников.

статью по итогу отредактируем (ограничений по времени нет), и докинем материал на сайт.

🎉✨🥳

https://habr.com/ru/post/658293/

перевод FAQ круто разлетелся: за 10 дней 9,5к просмотров у поста в канале и 5к у статьи на хабр

саммари по behavior/behaviors. тезисы:

1. Используем “поведения” (мн.ч.) поскольку оно прижилось и активно используется
2. Используем альтернативный вариант ("варианты поведения”, "типичные действия”, "типичный порядок действий”, "функциональные возможности") поскольку мн.ч. не подходит по каким-то причинам (приведены ниже)

против множественного числа (первого тезиса) были озвучены следующие доводы:

- звучит непривычно
- не рекомендуется справочно-информационным порталом ГРАМОТА.РУ

в пользу множественного числа были озвучены следующие доводы:

- в современных словарях нет пометки об отсутствии мн.ч., хотя таковая была в старых версиях (до конца не ясно насколько словари решают при таких вопросах)
- есть примеры использования как в нашей профессиональной среде так и за ее пределами

@olchmosk можно ли считать рекомендацию портала “Грамота” решающим фактором в данном вопросе?

если да, то можно переходить к выбору альтернативного варианта.
если нет, то давайте остановимся на мн.ч. и закроем этот вопрос.

поинт про непривычность мне не кажется решающим, поэтому его я не упоминаю.
возможно, зря. дайте знать что думаете 🙏🏻

5️⃣✅ adversarial actions across their lifecycle

встречается только один раз:

> “ATT&CK is a knowledge base of cyber adversary behavior and taxonomy for adversarial actions across their lifecycle”

из ДК #2: Методология перевода:

> Понятие, которое делят тактики (согласно FAQ), называется "adversarial actions across their lifecycle", т.е. вредоносные действия всего цикла атаки, или еще проще — все вредоносные поведения (для определенных платформ).

Выбранный эквивалент:

> ATT&CK представляет собой базу знаний и систему классификаций действий злоумышленников, предпринимаемых ими в ходе кибератак.


Кандидаты:

> ATT&CK — это база знаний о поведениях компьютерных злоумышленников и таксономия действий, применяемых ими в ходе кибератак.

Привет! Я думаю, стоит учитывать все: и данные словаря, и комментарий Грамоты, и то, что непривычно звучит, и то, что распространено 😊 И выбрать подходящий вариант.

Раз уж речь зашла о системе классификации, то я бы предложил отойти от дословного перевода и написать для ATT&CK is a knowledge base of cyber adversary behavior and taxonomy for adversarial actions across their lifecycle. следующее: ATT&CK представляет собой систему классификации поведения и действий злоумышленников на протяжении всего жизненного цикла кибератак.

Примечания:
1) Я бы не использовал тире, где это возможно, потому что этот символ не всегда удобно набирать и идентифицировать.
2) Я бы отказался от слова "компьютерный" применительно к злоумышленнику. Его предлагаю компенсировать словом "кибер". В данном случае это будет "кибератака".

Привет!

Я абсолютно согласен в том, что учитывать нужно все 🙌🏻

В то же время, итоговый выбор должен быть явно и понятно обоснован для читателей, будущих пользователей этих формулировок и тд.

Наш с вами случай осложнен тем, что в “дикой природе” уже существутет и распространяется одна из упомянутых версий.

Так, если новая версия будет отличаться от используемой, тому должны быть описаны причины, по которым человек (в т.ч. уже использующий существующую версию) должен принять наши корректировки. Такими причинами могут быть (насколько я могу судить. поправьте/дополните пожалуйста):

1. используемая версия обладает критическим изъяном, который вынуждает нас выбрать предлагаемую версию
2. предлагаемая версия обладает значительными преимуществами перед используемой
3. либо совокупность

Пока остается не ясным насколько критичен для нашего случая изъян, обозначенный на в ответе №283358 Грамота.ру. Дело в том, что он не запрещает использовать мн.ч. В нем сказано “как правило (т.е. обычно) не используется”. В других вопросах про мн.ч, в случаях где оно запрещено, в ответах так и пишут — “использовать форму множественного числа неверно”.

Я понимаю его как рекомендацию, не препятствующую использованию существующей версии. @olchmosk, как вы думаете, правильно ли я интерпретирую этот поинт?

Если я все правильно понял, то можно заключить что критических изъянов в слове “поведения” (мн.ч.) нет, и переключиться к выявлению значительных (или иных, которые в последствии будем сравнивать с выявленным не критичным изъяном) преимуществ среди предлагаемых альтернатив 🙌🏻

> 1) Я бы не использовал тире, где это возможно, потому что этот символ не всегда удобно набирать и идентифицировать.
> 2) Я бы отказался от слова "компьютерный" применительно к злоумышленнику. Его предлагаю компенсировать словом "кибер". В данном случае это будет "кибератака".

Согласен с тобой 🙌🏻

> ATT&CK is a knowledge base of cyber adversary behavior and taxonomy for adversarial actions across their lifecycle.

я уже упоминал выше что в этом предложении идет речь о том, что ATT&CK это две вещи:

1. база знаний
2. таксономия

В этом предложении “cyber adversary behavior” и “adversarial actions across their lifecycle” являются равными по смыслу %)

В био своего твиттер аккаунта они написали:

> MITRE ATT&CK® - A knowledge base for describing behavior of adversaries across their lifecycle

Они решили поступить наоборот — опустили часть про таксономию. Но в FAQ ее указывают, потому я убежден что нужно упомянуть и то и другое.

Как насчет:

> ATT&CK представляет собой базу знаний вредоносных действий и систему классификации поведения злоумышленников на протяжении всего жизненного цикла кибератак.

(ссылка за “систему классификации” ведет на страничку “таксономия” на вики. так можно сохранить полный смысловой синк с оригиналом, избавившись от дополнения в скобоках)

Согласен, супер валидные правки. Внесу в черновик. 👍🏻 Спасибо!

Или даже:

> ATT&CK представляет собой базу знаний и систему классификации поведения злоумышленников на протяжении всего жизненного цикла кибератак.

(вроде ничего не поменялось 🤔 все также понятно и полно отражено)

Нет, там речь идет не о двух вещах, а об одной == knowledge base, потому что в случае, когда это были бы две вещи, перед "and" стояла бы запятая (так вот они в англ отделяют "разные вещи"). Поэтому в предложении ATT&CK is a knowledge base of cyber adversary behavior and taxonomy for adversarial actions across their lifecycle. и таксономия и поведение относятся к базе знаний, т.е. это база знаний, которая содержит в себе информацию о поведении и таксономии.

Прокомментируй пожалуйста предлагаемую версию 🙏🏻

В версии ATT&CK представляет собой базу знаний и систему классификации поведения злоумышленников на протяжении всего жизненного цикла кибератак. с точки зрения русского языка получается, что это база знаний чего-то и система классификации поведения злоумышленников. Возникает вопрос: база знаний чего? Если это некие варианты поведения злоумышленников, которые описаны в базе знаний и как-то классифицированы, то словосочетание "база знаний" полностью "закрывает" оба значения и нет смысла писать лишние слова. Поэтому я все также предлагаю следующий вариант: ATT&CK представляет собой систему классификации поведения и действий злоумышленников на протяжении всего жизненного цикла кибератак.
Можно еще такой вариант рассмотреть: ATT&CK представляет собой базу знаний, содержащую информацию о вариантах (шаблонах) поведения и действий злоумышленников на протяжении всего жизненного цикла кибератак.
В любом случае, акцент делается на то, что это некий набор знаний (информации, данных) о типичном поведении и действиях злоумышленников. Можно даже, кмк, назвать это подобием справочника по шаблонным действиям злоумышленников в ходе атак.

Я согласен с тем, что база знаний в широком смысле включает в себя таксономию, и является ее воплощением.

В то же время, я считаю что отдельное упоминания таксономии заслуживает свое место в FAQ, и было внесено туда не случайно.

Я долго думал как нам поступить с обсуждением в этом треде, о противоречии которое возникло. Мне кажется наиболее оптимальным будет узнать у команды ATT&CK что они думают по поводу необходимости упоминания таксономии, базы знаний, а также поведений и действий в одном предложении.

У нас с ними будет созвон на этой неделе (по другому поводу), я могу попробовать этот вопрос с ними проговорить. Также, можем вместе здесь составить письмо и закинуть его в группу в Slack. Я думаю нам быстро ответят, вопрос решится.

Что скажешь?

Если это будут не русскоговорящие люди, то смысла особого в этом нет, поскольку в нашем случае речь идет исключительно о выборе слов для русского языка. Единственное что, кмк, можно уточнить - это что именно имелось ввиду в рассматриваемом предложении и какие аспекты они хотели подчеркнуть (выделить), используя слово "таксономия".
На мой взгляд здесь просто делается акцент на том, каким образом действуют злоумышленники (удаленно, скрытно, растянуто во времени == а-ля APT) и какова последовательность их действий == таксономия/классификация.

Предлагаю где это возможно использовать единственное число, поскольку, пусть множественное число и не запрещено использовать, но мы все-таки, наверное, должны переводить на более благозвучный язык и стараться не вводить новые формулировки, которые, как многие тут уже заметили, звучат неестественно. Как мне кажется, наша задача как раз избежать калькирования.

Мне кажется, что есть разница - то, что уже прижилось (техники, тактики, процедуры, калькирование, вот это вот все.), а другое дело, где устоявшихся оборотов еще нет. Согласитесь, было бы странно переводить на английский язык newses - поскольку в русском языке можно сказать новость можно использовать во множественном числе.


Поэтому, здесь, на мой взгляд, лучше использовать другие формулировки.

ATT&CK описывает варианты вредоносного поведения направленные против нескольких видов инфраструктур.

Звучит естественно, не вызывает когнитивного диссонанса.




> ATT&CK is a knowledge base of cyber adversary behavior and taxonomy for adversarial actions across their lifecycle.

это база знаний о поведении компьютерных нарушителей

Или как выше писал Евгений

ATT&CK представляет собой систему классификации поведения и действий злоумышленников на протяжении всего жизненного цикла кибератак.

> It was created out of a need to document adversary behaviors for use within a MITRE research project called FMX.

ATT&CK был создан из-за необходимости документировать варианты поведения злоумышленников в рамках другого исследовательского проекта MITRE под названием FMX.


> We have documented several use cases where ATT&CK can be used to provide granular detail on adversary behavior.

Среди описанных вариантов использования, ATT&CK применяется для детального описания вариантов поведения злоумышленников

> ATT&CK documents detailed adversary behavior while the Diamond Model is helpful if you're trying to cluster intrusions.

ATT&CK полезен для описания вариантов поведения злоумышленника, а Diamond Model — для группировки нескольких инцидентов.


> ATT&CK sits at a lower level of definition to describe adversary behavior than the Cyber Kill Chain.

ATT&CK детально описывает поведение злоумышленников, в то время как Cyber Kill Chain предлагает высокоуровневое описание их целей

> MITRE ATT&CK® is a curated knowledge base and model for cyber adversary behavior.

Пример первого упоминания: MITRE ATT&CK® — это курируемая база знаний и модель поведения компьютерных злоумышленников…


> ATT&CK is useful for understanding security risk against known adversary behavior

ATT&CK полезен для понимания рисков безопасности, связанных с известными вариантами поведения компьютерных злоумышленников…


ничего от себя не вставлял, взял готовый перевод,(спасибо вам за труд) просто убрал множественное число. Суть передается. Поведения не вводим.

кажется не получится в лоб перевести это предложение.

мне нравится вариант Евгения -

ATT&CK представляет собой базу знаний, содержащую информацию о вариантах (шаблонах) поведения и действий злоумышленников на протяжении всего жизненного цикла кибератак.

Или вот так

ATT&CK представляет собой базу знаний о вариантах (шаблонах) поведения компьютерных ннарушителей и классификацию их действий на протяжении всего жизненного цикла кибератак.

претензий нет. За исключением поведений, но это к предыдущему топику.

Я попробовал перефразировать, чтобы легче читалось. Также не уверен по поводу телеметрии операционных систем. Вроде бы там не такого ограничения, основной посыл, что телеметрия с хостов (не знаю используется ли у нас словосочетание "конечные точки" или лучше использовать эндпоинты)

Задачей FMX было исследование возможности использования аналитики и телеметрии с конечных точек (эндпоинтов) для повышения эффективности обнаружения злоумышленников в скомпрометированных ими корпоративных сетях.

> Если это будут не русскоговорящие люди, то смысла особого в этом нет, поскольку в нашем случае речь идет исключительно о выборе слов для русского языка.

Наше противоречение в исходном значении, а не в выборе слов для русского языка.

Ты утверждаешь что отсутствие запятой является достаточным основанием полагать что таксономию можно опускать как часть базы знаний. Иными словами, в твоем представлении, у этого предложения иное значение, которое определяется запятой.

Я же американцам в плане запятых не очень доверяю, и изначально видел здесь перечисление двух описаний с разных сторон, между собой не согласованных. Мой довод о био твиттера ATT&CK не убедил тебя.

Я озвучил вопрос на звонке, мне пообещали ответить позже, после уточнения значения у коллег. Буду держать вас в курсе 🙌🏻

Оффтопом сказали что можно использовать разные значения, напр “модель”, “таксономия” и тп, до тех пор пока это не онтология. Занятно, оказывается есть люди которые упарываются значительно серьезнее нас.

> Вроде бы там не такого ограничения, основной посыл, что телеметрия с хостов

Подразумевается ограничение понятием “Операционная система”?

> основной посыл, что телеметрия с хостов

Все верно. Но я не вижу в чем наше противоречие %)

> с конечных точек (хостов / эндпоинтов)

“операционные системы” — это способ уйти от конечных точек и эндпоинтов, поскольку они менее распространены, не понятны широкой аудитории.

“операционные системы” абсолютно корректны с позиции значения в данном контексте — FMX был про телеметрию Windows. Первое время и ATT&CK целиком был только про Windows, и другие системы добавились позже. Что-то кроме операционных систем добавилось еще позже, но то не относится к FMX.

Спасибо за раскрытый комментарий 🙏🏻

Ты по ходу рассуждения опираешься на то, что мн.ч. не прижилось. Ранее (с самого начала) мои рассуждения строились на обратном. Давай синхронизируемся в этом плане, иначе обсуждения у нас не выйдет (:

Я уже ранее предлагал привести подтверждения своим словам, но мне казалось это излишним. Сейчас, если я все правильно понял, пришло время это сделать.

Или может суть была в чем-то другом?

> база знаний о поведении
> систему классификации поведения

Эти версии супер валидные. Но они не объясняют почему в иных случаях (где нужно отразить мн мн.ч.) нельзя использовать “поведения” или “поведений” без доп слов (“варианты").

Все дело в том, что приживается и реально входит в речь обычно что-то простое. Сейчас наблюдается активное использование мн.ч. в одно слово. Нам нужно объяснить почему вместо одного привычного слова нужно будет использовать два. Описать чем обоснована эта необходимость. Пока вот что мне удалось найти:

- “мы должны переводить на более благозвучный язык” - я в этом с тобой полностью согласен

- “мы должны стараться не вводить новые формулировки которые звучат неестественно” - тут я тоже по большей части согласен. однако реальность показывает что неестественные формулировки — это оценка, которая от человека к человеку отличается. нам с вами резануло, кому-то меньше, кому-то больше, а в живой и письменной речи люди используют. это, на мой взгляд, доказывает жизнеспособность этой формулировки. если бы она была совсем уж неестественна для всех, она бы не прижилась. значит, этот критерий все же устраивает людей.

при этом, я напомню, что с позиции корректности все окич во всех случаях. мы с вами рубимся за окончания.

> наша задача как раз избежать калькирования

хм. калька, конечно же, является известным источником ошибок. но это все же инструмент, он не обладает по умолчанию какими-то плохими свойствами. вот тут хорошие примеры калькирования можно найти.

короче, кальку надо рассматривать отдельно в каждом случае. за и против описаны вот тут 🙌🏻

> “операционные системы” абсолютно корректны с позиции значения в данном контексте — FMX был про телеметрию Windows. Первое время и ATT&CK целиком был только про Windows, и другие системы добавились позже. Что-то кроме операционных систем добавилось еще позже, но то не относится к FMX.

С таким уточнением все становится на месте и тогда я свой комментарий отзываю.

> Я же американцам в плане запятых не очень доверяю, и изначально видел здесь перечисление двух описаний с разных сторон, между собой не согласованных. Мой довод о био твиттера ATT&CK не убедил тебя.

Кмк, они не стали писать про таксономию в био именно потому, что это однородные определения "базы знаний" (т.е. два разных слова описывают состав базы знаний).

> Я озвучил вопрос на звонке, мне пообещали ответить позже, после уточнения значения у коллег.

👍
Было бы отлично, если бы они просто перефразировали предложение.

На мой взгляд, наиболее приемлемыми являются варианты "поведение" и "действия". Поведения, хоть и используется, подходит скорее для разговорной речи. Я бы не акцентировал внимание на типичности, так как в контексте подразумевается их вариативность. Что до функциональных возможностей, данный термин скорее подходит для описания вредоносного ПО, но ATT&CK им не ограничивается.

Хм, если захватить и предыдущие пункты, я бы перевел так: ATT&CK - это база знаний, описывающая поведение злоумышленников и их действия в рамках жизненного цикла кибератаки.

Эта часть интересная, и вопрос тут в том, как воспринимается термин "компрометация" - возможно многие его будут воспринимать так, что работа злоумышленников закончена. Тут же речь скорее о том, что атакующие могут иметь доступ к 0дэям, получить доступ к целевому хосту, но в рамках пост-эксплуатации использовать детектируемые техники. Поэтому, возможно, стоит переводить не дословно, а как-нибудь вроде "после получения доступа к корпоративным сетям".

В целом, threat intelligence - это однозначно киберразведка, так как intelligence тут именно разведка. При этом мне не очень нравится словосочетание "публичные киберразведданные", в то же время, так как у данных зачастую есть контекст, в принципе, оно имеет право на жизнь. Так что можно перевести и как "исследования угроз".

Привет! У меня отличные новости — ребята наконец ответили (:

Исходя из ответа, я бы выбрал второй вариант: ATT&CK представляет собой базу знаний и систему классификации поведения злоумышленников на протяжении всего жизненного цикла киберактак.

BTW
Исходя из выше перечисленного предполагаю, что "база знаний" == сборник описаний, а "таксономия" == классификация/схема. Можно это учесть на будущее, если согласны с моими выводами.

> Исходя из ответа, я бы выбрал второй вариант

спасибо! @EVILYA @Ox0136 @olchmosk у вас будут комментарии по этому варианту?

> "база знаний" == сборник описаний

кмк проще всего понимать под этим «контент»

> "таксономия" == классификация/схема

а под этим — структуру, в которую этот контент ложится

я бы еще дополнил, что "контент" и "структура" являются невзаимосвязанными, т.е. под одну структуру можно подложить разный контент (а-ля одинаковые техники/подтехники имеются в разных тактиках)

вот как-то так

все так. об этом уже писали в феврале:

https://t.me/attack_community_dc_4/74

Я согласна с @JZDLN

Также полностью согласен с @JZDLN
Спасибо ему за работу)

@Ox0136 Олег привет! Я только сейчас заметил что ты тред про таксономию не комментировал. Хочешь обсудить или этот пункт тебе не оч интересен? Осталось только с тобой утрясти, если ты в деле (:

Привет! А я ж его прокомментировал совместно с другим, но в целом, я солидарен с ребятами в последней итерации

Огонь!!!

Пункт 3️⃣ taxonomy мы с вами закрываем 😁 С чем всех и поздравляю (:

Выбранный эквивалент — «система классификаций» со ссылкой на статью таксономиия на вики.

> На мой взгляд, наиболее приемлемыми являются варианты "поведение" и "действия".

В контексте фреймворка/faq это по смыслу синонимы. Как насчет варианта, в котором мы где это возможно и уместно употребляем «поведение» в единственном числе, а где нужно множественное число — используем «действия»? Грубый черновик чтобы передать мысль на основе сообщения @EVILYA:

***

> ATT&CK is a knowledge base of cyber adversary behavior and taxonomy for adversarial actions across their lifecycle.

тут уже договорились, будет «система классификации поведения»

***

> It was created out of a need to document adversary behaviors for use within a MITRE research project called FMX.

ATT&CK был создан из-за необходимости документировать действия злоумышленников в рамках другого исследовательского проекта MITRE под названием FMX.

***

> We have documented several use cases where ATT&CK can be used to provide granular detail on adversary behavior.

Среди описанных вариантов использования, ATT&CK применяется для детального описания действий злоумышленников

***

> ATT&CK documents detailed adversary behavior while the Diamond Model is helpful if you're trying to cluster intrusions.

ATT&CK полезен для описания действий злоумышленника, а Diamond Model — для группировки нескольких инцидентов.

***

> ATT&CK sits at a lower level of definition to describe adversary behavior than the Cyber Kill Chain.

ATT&CK детально описывает поведение злоумышленников, в то время как Cyber Kill Chain предлагает высокоуровневое описание их целей

***

> MITRE ATT&CK® is a curated knowledge base and model for cyber adversary behavior.

Пример первого упоминания: MITRE ATT&CK® — это курируемая база знаний и модель поведения компьютерных злоумышленников…

***

> ATT&CK is useful for understanding security risk against known adversary behavior

ATT&CK полезен для понимания рисков безопасности, связанных с известными действиями компьютерных злоумышленников…

***

@Ox0136 @JZDLN @olchmosk @EVILYA что скажете, ребят?

А может убрать компьютерных, но добавить информационной/компьютерной безопасности?

это про компьютерных злоумышленников? согласно истории, мы остановились (но это не значит что это окончательное решение) на версии «злоумышленник», без дополненительных слов. возможно (но могу ошибаться) это просто копипаста старых вариантов

Мне нравится в таком варианте. 👍 Читается легко, глаз не режет ничего

Вот мои мысли (варианты) по данному вопросу:
1) It was created out of a need to document adversary behaviors for use within a MITRE research project called FMX.
Было >>> ATT&CK был создан из-за необходимости документировать действия злоумышленников в рамках другого исследовательского проекта MITRE под названием FMX.
Альтернативный вариант >>> Он [проект] был создан с целью документирования действий злоумышленников для использования в исследовательском проекте MITRE под названием FMX.

2) We have documented several use cases where ATT&CK can be used to provide granular detail on adversary behavior.
Было >>> Среди описанных вариантов использования, ATT&CK применяется для детального описания действий злоумышленников.
Альтернативный вариант >>> Мы описали несколько сценариев, в которых ATT&CK может быть использован для получения подробной информации о действиях злоумышленников.

3) ATT&CK documents detailed adversary behavior while the Diamond Model is helpful if you're trying to cluster intrusions.
Было >>> ATT&CK полезен для описания действий злоумышленника, а Diamond Model — для группировки нескольких инцидентов.
Альтернативный вариант >>> ATT&CK подробно описывает поведение злоумышленников, тогда как [модель] Diamond Model может быть использована для объединения [группировки] нескольких инцидентов.

4) ATT&CK sits at a lower level of definition to describe adversary behavior than the Cyber Kill Chain.
Было >>> ATT&CK детально описывает поведение злоумышленников, в то время как Cyber Kill Chain предлагает высокоуровневое описание их целей
Альтернативный вариант >>> ATT&CK описывает действия злоумышленников на более общем [низком] уровне в отличии от Cyber Kill Chain. (Поясню: различие как раз в том, что килчейн подробно описывает весь процесс атаки от начала и до конца, а ATT&CK как бы дает только кусочки для посторения целостной картины атаки [килчейна], поэтому я бы назвал описания ATT&CK общими, а Cyber Kill Chain - частными, т.е более подробными)

5) Example of a first reference: MITRE ATT&CK® is a curated knowledge base and model for cyber adversary behavior...
Было >>> Пример первого упоминания: MITRE ATT&CK® — это курируемая база знаний и модель поведения компьютерных злоумышленников…
Альтернативный вариант >>> Пример первого упоминания: MITRE ATT&CK® представляет собой [официально] поддерживаемую базу знаний и модель поведения злоумышленников [киберпреступников]...

6) Example of subsequent reference: ATT&CK is useful for understanding security risk against known adversary behavior...
Было >>> ATT&CK полезен для понимания рисков безопасности, связанных с известными действиями компьютерных злоумышленников…
Альтернативный вариант >>> Пример последующих упоминаний: ATT&CK помогает понять риски, связанные с безопасностью и наиболее распространенными [хорошо известными] действиями злоумышленником [киберпреступников]...

спасибо 🙏🏻

можно коротко:

> В контексте фреймворка/faq это по смыслу синонимы. Как насчет варианта, в котором мы где это возможно и уместно употребляем «поведение» в единственном числе, а где нужно множественное число — используем «действия»?

Согласен с этим?

Ты сделал много предложений из другой оперы, давай последовательно вопросы закрывать 👌🏼

согласен, что "поведение" и "действия" - это синонимы.

@olchmosk, только у вас осталось уточнить (:

Да, отличный вариант

Круто!

Пункт 2️⃣ «adversary behavior/behaviors» закрываем (:

Выбранные эквиваленты — «поведение» для единственного и «действия» для множественного числа.

Всем спасибо! 🙌🏻

Ранее в ветке 3️⃣ “taxonomy” мы приняли вот эту версию (в контексте перевода taxonomy):

> ATT&CK представляет собой базу знаний и систему классификации поведения злоумышленников на протяжении всего жизненного цикла киберактак.

Перевод «adversarial actions across their lifecycle» кажется вполне сносным. Изначально я предлагал более короткую версию, но сейчас не вижу особой причины для того чтобы за нее топить.

@Ox0136, твоя версия немного отличается («в рамках» вместо «на протяжении всего»). Будешь ее защищать?

Хорошие замечания. 1 пункт кажется равнозначным, во втором убирается повторение "описанных - описания".
3 пункт тоже кажется близким, но альтернатива кажется чуть более благозвучной.
С четвертым пунктом тоже соглашусь, альтернатива кажется лучше доносит смысл.

С пятым затрудняюсь выбрать . Курируемая и поддерживаемая сложно осознаются.

6 пункт кажется варианты равнозначны

думаю что общий стиль документа не противоречит. давай сделаем по-твоему (:
это еще позволяет избежать повторения с предыдущим предложением 👍🏻

Честно говоря, мы уже так давно это обсуждали, что что-то забылось.
Сейчас я читаю формулировку и мне режет слух "исследование по использованию",

Может упростить до "исследование использования..."

Я бы тут отметил, что "целевой" используется в других, более широких контекстах, т.е. для описания атакуемой цели: целью (целевыми) могут быть государственные или нефтяные компании, а вот более конкретные цели, после, например, получения доступа, могут отличаться, т.е. в госучереждениях это может быть получение информации, а в нефтянке - нарушение работы предприятия. Поэтому я бы использовал слово "целенаправленные", поскольку в данном случае, кмк, упор делается на то, что есть более конкретные цели (направления) внутри атакуемого периметра.

Исследование возможности использования?

Кмк, "исследование возможности использования" можно трактовать как "уже наличие чего-то, что является полезным", а тут исследуется "полезность" использования полученных данных для каких-то целей, т.е. имеются данные и исследуется их "полезность" для обнаружения злоумышленников.
В данном случае имеет место, кмк, исключительно вопрос русского языка, т.е. исключение, по возможности, неоднозначности высказывания. (но это чисто моё восприятие)

Мне кажется, что как раз первая часть и подходит. Уже есть телеметрия ос. Мы исследуем возможность их использования для обнаружения злоумышленников. То есть до этого не использовали и непонятно, приемлемо или нет.

Но если больше никому глаз не режет, можно оставить так как есть. Кажется что суть передает корректно, придирка только про благозвучие. Субъективное.

подтверждаю, что "про благозвучность и двусмысленность" - это моё субъективное восприятие

в пользу твоей версии еще официальный перевод от Google

UPD: но я случайно наткнулся на это, возможно у других гигантов это называется иначе

@EVILYA @olchmosk @JZDLN @Ox0136 мне кажется что перевод этой формулировки для нас не представляет большого интереса, при этом все представленные версии можно считать корректными и используемыми (за исключением «избирательных» об этом отписал отдельно).

с целью экономии времени я бы выбрал простым большинством, не втягиваясь в дискуссию.

@JZDLN @Ox0136 ребят, оно того стоит? Может забьем для разнообразия? :D

А давай забьем)

если вы против того чтобы слить обсуждение, мы все равно простым большинством придем к варианту Евгения ("целенаправленные"). Ну, если Ольга проголосует (⬆️) за него. Я думаю вы оба за этот вариант, так чаще всего было раньше

Давайте, на данном этапе, забьем. Всегда можно вернуться и обсудить при необходимости.

Мне нравится целенаправленная, проголосовала за нее. А что значит "забить"? Пока отложить это обсуждение? Или забить и решить большинством голосов?

Да, в смысле просто отказаться от дискуссии и сэкономить время через голосование 🙌🏻

Пункт «6️⃣ advanced persistent threats» закрываем (:

Выбранный эквивалент:

> ...которые злоумышленники использовали для целенаправленных кибератак на корпоративные инфраструктуры под управлением ОС Windows.

Всем спасибо! 🙌🏻

Соглашусь с @EVILYA , тут скоре "исследование возможности использования для того-то":

> The objective of FMX was to investigate use of endpoint telemetry data and analytics to improve post-compromise detection of adversaries operating within enterprise networks.

т.е. они пытались выяснить можно ли улучшить детекшн определенного вида вредоносной активности с помощью этих штук (телеметрии, данных и аналитики). я опустил факт "улучшения", потому что тогда это предложение стало бы супер перегруженным и сложным. Оставил более широкий смысл, просто "для обнаружения".

Учтем предложение по проявлению актора от @JZDLN (я думаю никто не будет против, крутое замечание 🙌), и получим следующего кандидата:

> Целью FMX было исследование возможности использования аналитики и телеметрии операционных систем для обнаружения злоумышленников после получения ими доступа к корпоративным сетям.

@JZDLN @Ox0136 @EVILYA ставьте 👍 если согласны, и пойдем добивать последние два пункта (а потом вернемся к твоим предложениям, @JZDLN )

Да, вполне

Пункт «8️⃣ threat intelligence» закрываем (:

Выбранный эквивалент:

> ATT&CK можно использовать для поддержки различных процессов обеспечения защищенности, развития архитектуры безопасности, исследования киберугроз и так далее. Главными источниками данных в ATT&CK являются публично доступные отчеты об инцидентах и исследованиях киберугроз.

Всем спасибо! 🙌🏻

У меня возражений нет

Пункт «7️⃣ post-compromise» закрываем (:

Выбранный эквивалент:

> Целью FMX было исследование возможности использования аналитики и телеметрии операционных систем для обнаружения злоумышленников после получения ими доступа к корпоративным сетям.

Всем спасибо! 🙌🏻

@Ox0136 Олег привет! Ждем твой ответ 🙌🏻

Привет! Вот такой вариант: ATT&CK — это база знаний о поведении компьютерных злоумышленников и таксономия действий, предпринимаемых ими в ходе кибератак.

Привет!

Очень напоминает первую версию от 9 апреля. С тех пор мы прошли большой путь с тех пор, и успели утрясти несколько формулировок:

— "компьютерные злоумышленники":

Сошлись на том что будут просто "злоумышленники", без "компьютерных", по всему тексту. Кидай обоснование в тред "1️⃣ adversary", если хочешь это изменить 🙌

— "таксономия действий":

Пришли к тому что будет "система классификаций" со ссылкой на статью "таксономия" на вики. Кидай обоснование в тред 3️⃣“taxonomy” если хочешь это изменить 🙏

— "предпринимаемых ими в ходе кибератак":

Я на все 100% поддерживаю твою версию. Вот мое обоснование, которое показывает что значение сводится к тому что это просто "все действия", и то что есть некий цикл атак — это опциональное, не обязательное уточнение.

Разве что изначально предлагаемая версия немного короче (применяемых вместо предпринимаемых). Суть та же но короче, однако топить за это я не буду, не вижу большой разницы.

@Ox0136 дай знать если хочешь менять 1️⃣ cyber adversary и 3️⃣ taxonomy. Если тебя устраивают существующие решения — давай добивать последний пункт про "actions across their lifecycle".

@JZDLN @EVILYA ребят, ваше мнение по топику не изменилось?

BTW, это последний пункт (:

Я перестал ещё раз предложение и теперь согласен с Ольгой по поводу "предпринимаемых действий", у меня не получилось найти примеры применения выражения "применять действия". В остальном уже все хорошо, кмк

+1

и правда. спасибо 🙏🏻

С Олегом, тысяча извинений

мы ранее пришли к тому, что "cyber adversary behavior" и "adversarial actions across their lifecycle" — это синонимы в данном случае (даж с ребятами из ATT&CK общались).

поэтому предыдущий кандидат получился вот таким:

> ATT&CK представляет собой [ базу знаний ] и [ систему классификаций ] поведения злоумышленников на протяжении всего жизненного цикла киберактак.

т.е. говорится что есть поведения/действия, а ATT&CK — это база знаний (о них) и их классификация.

Может откажемся от "поведений" в пользу "действий" в данной формулировке? Иначе оно не клеится без радикальных изменений предыдущего кандидата — нельзя сказать "предпринимаемых поведений".

Если учесть предложение Олега, и скрестить его с предыдущим кандидатом, получим:

> ATT&CK представляет собой базу знаний и систему классификаций действий злоумышленников, предпринимаемых ими в ходе кибератак.

Мне кажется супер понятно и корректно.

@JZDLN что скажешь?

Пункт «5️⃣ adversarial actions across their lifecycle» закрываем (:

Выбранный эквивалент:

> ATT&CK представляет собой базу знаний и систему классификаций действий злоумышленников, предпринимаемых ими в ходе кибератак.

Всем спасибо за работу!

1) Согласен 👍 Стало понятнее и роднее.

2) Тоже отличная альтернатива.

3) Все круто, я бы только заменил "описывает поведение злоумышленников" на "описывает действия злоумышленников", так будет консистентно с другими формулировками и более понятно. Но рубиться не буду, у нас это синонимы, по итогу обоснования из TODO.

5) Все круто, думаю так будет понятнее 🙌

4) > что килчейн подробно описывает весь процесс атаки от начала и до конца

киллчейн описывает то, как из одной стадии атака переходила в другую. без данного уточнения фраза "подробное описание процесса атаки" звучит как действительно подробное описание того как атака происходила. разве это так?

> ATT&CK как бы дает только кусочки для посторения целостной картины атаки [килчейна]
> я бы назвал описания ATT&CK общими, а Cyber Kill Chain - частными, т.е более подробными

Да, этапы Kill Chain могут быть описаны через тактики и техники ATT&CK. Но едва ли эта возможность характеризует тактики и техники как "общие" в смысле противопоставления "подробным" стадиям KIll Chain.

ATT&CK детализирует Kill Chain, не наоборот. "Low level" из оригинала как раз об этом — оно означает "ближе к реальности", "ближе к технологиям", "на более глубоком (низком) уровне".

Может я чего-то не понимаю или не знаю?

6) "помогает понять" однозначно лучше чем "полезен для понимания" 👍🏻

но я бы связку "security risk" с "behavior" не сводил к просто "и". месседж в том, что ATT&CK дает понять чем угрожают вредоносные поведения, в чем заключается опасность, возможные последствия.

как насчет:

"[...] понять риски кибербезопасности, которые [несут] [стоят за] [вызывают] известные действия злоумышленников"

или вообще свести все к:

"[...] понять чем угрожают известные действия злоумышленников"

Что скажешь?

Я думаю тут можно обойтись без голосований, обсуждаем по сути косметику. Разве что в 4м пункте по смысловое противоречие

> 3) Наверное, действительно стоит заменить "поведение" на "действия".

> 4) Да, наверное не очень хороший вариант у меня получился.
Новый вариант 4-го пункта: ATT&CK sits at a lower level of definition to describe adversary behavior than the Cyber Kill Chain.==ATT&CK описывает [отдельные] действия злоумышленников более детально, в отличии от Cyber Kill Chain.

> 6) Еще один вариант для Example of subsequent reference: ATT&CK is useful for understanding security risk against known adversary behavior...:
Пример последующих упоминаний: ATT&CK помогает понять какие угрозы [для безопасности] могут представлять наиболее распространенные [хорошо известные] действия злоумышленников [киберпреступников]...

3) да будет так 🙌

4) [отдельные] я бы опустил, оно избыточное, действия и так мн число. в остальном — круто 🙌

6) Немного изменил: "ATT&CK помогает понять какие угрозы кибербезопасности могут представлять известные действия злоумышленников"

- про "киберпреступников" — фразу "кибер" воткнул к "угрозам кибербезопасности", думаю будет ок если в этом месте оставим дефолтных (по пункту из TODO) "злоумышленников"

- про "наиболее распространенные" — об этом речи в оригинале нет ведь %) да и ATT&CK про разные методы повествует, не только про самые распространенные

- про "хорошо известные" — это наверное well-known, а в ATT&CK просто про то что они известные, не обязательно именно супер хорошо. В ATT&CK ведь попадают и мало изученные вещи. Критерий попадания в базу знаний ведь именно документированный пруф использования преступниками. Известность оно может приобретать позже, с распространением инфы (в чем ATT&CK как раз помогает).

Может оставим просто "известные"? тебя смущает то что "известные" стоит особняком, кажется избыточным без доп пояснений? (вроде и так понятно что говорим об известрных действиях, иначе не говорили бы). или почему ты предлагаешь поясненить тут?

Можно просто "известные". Все остальное вроде 👌

огонь.

тогда буду финализировать, обновлять статьи и готовить отчетный пост. на днях добью все 🙌🏻

спасибо вам ребят!
еще одна победа сообщества (: