Главная | Кодекс поведения | Дискуссии | Вопросы и ответы
Дискуссия #1: "Этапность" как свойство названий тактик
Статус
Дискуссия завершена.
Проблема
В ходе работы над переводом названия
одной из тактик, участники
сослались на свойство тактики под условным названием "этапность", которая выражается в:
- наличии последовательности между тактиками ("слева направо", "пошаговая")
- возможности строить цепочки как у Cyber Kill Chain
- возможности анализировать последовательность действий атакующего на основе порядка тактик
- возможности приоритизировать критичность действий атакующего на основе порядка тактик
Не все согласились с наличием данного свойства. Завязалась дискуссия, в ходе которой явное отрицание наличия упорядоченности в
официальном FAQ многих не убедило, как и другие аргументы, основанные на архитектуре фреймворка.
Стало очевидно что данный вопрос требует особого внимания. Решено привлечь более широкий круг экспертов для детального разбора и последующего закрепления в FAQ нашего сообщества.
Цель
Доказать или опровергнуть принадлежность "этапности" к свойствам названий тактик, опираясь на имеющиеся данные: документацию, архитектуру и задачи фреймворка.
Результат
Принадлежность "этапности" к свойствам тактик ATT&CK (и их названиям) опровергнута, поскольку противоречит архитектуре фреймворка.
Аргументация
| # |
Утверждения в пользу существования этапности |
Статус |
| 1 |
ATT&CK и Cyber Kill Chain созданы, чтобы показать на каком этапе что может происходить |
Опровергнуто. Опровержение принято без претензий |
| 2 |
Пошаговая схема была выбрана, чтобы защищающиеся могли определить приоритеты |
Опровергнуто. Опровержение принято без претензий |
| 3 |
Последовательность прослеживается у некоторых тактик, а значит — присутствует у всех |
Опровергнуто. Опровержение принято без претензий |
| 4 |
Последовательность прослеживается при сопоставлении тактик ATT&CK и Cyber Kill Chain, они расположены в хронологическом порядке |
Опровергнуто. Опровержение принято без претензий |
| 5 |
Последовательность прослеживается визуально ("слева-направо") |
Опровергнуто. Опровержение принято без претензий |
Хронология
Представлены только релевантные события.
| Дата |
События |
| 28.11.2021 |
Ольга Моск опирается на "этапность" как свойство тактик в одном доводов. Ее поддерживают Кирилл Митрофанов, Степан Богачев и Евгений Зудилин |
| 30.11.2021 |
Павел Кузнецов и Даниил Югославский выражают несогласие с данной позицией |
| 1.12.2021 |
Кирилл Митрофанов опирается на Cyber Kill Chain в качестве аргумента в пользу наличия этапности в тактиках ATT&CK: "Их составили, чтобы показать на каком этапе что может происходить, но эти этапы в хронологическом порядке расположены. в килчейне 7 этапов выделили и там тоже прослеживается последовательность" |
| Евгений Зудилин предполагает что "пошаговая схема была выбрана, чтобы защищающиеся могли определить для себя приоритеты: последовательность расположения тактик помогает определить порядок действий" |
| 03.12.2021 |
Даниил Югославский доказывает отсутствие приоритета и последовательности в тактиках через отсутствие упоминания данных характеристик в официальной документации фреймворка и несоответствие основанию деления на тактики |
| 11.12.2021 |
Даниил Югославский доказывает отсутствие последовательности через явное упоминание данного факта в официальном FAQ MITRE ATT&CK |
| Кирилл Митрофанов не соглашается, мотивируя это наличием последовательности у некоторых тактик, а также тем, что "матрица в целом отражает последовательность" |
| Павел Кузнецов ставит под сомнение довод в пользу "этапности" для всех тактик, основанный на наличии этой последовательности у некоторых тактик |
| 15.12.2021 |
Евгений Зудилин опирается на схему соответствия тактик ATT&CK с этапами Cyber Kill Chain в качестве аргумента в пользу наличия последовательности в тактиках ATT&CK |
| 21.12.2021 |
Даниил Югославский доказывает отсутствие последовательности в тактиках через детальный разбор принципа образования тактик (описанного в официальном гайде), описание роли тактики как признака техники в момент наблюдения (безотносительно предыдущих и будущих действий)
|
| Кирилл Митрофанов не соглашается, мотивируя это тем, что "визуально это всё смотрится как некая последовательность [...] и в этом есть некий контекст, который необходимо учитывать", "я вижу, что тактики расположены в последовательности. Мне легче ориентироваться и смапить это все на килчейн" |
| Евгений Зудилин поддерживает позицию Кирилла Митрофанова |
| Даниил Югославский ставит под сомнение довод в пользу "этапности" основанный на "визуальном" и просит формировать доказательства через архитектуру, документацию, задачи фреймворка |
| 23.12.2021 |
Даниил Югославский доказывает отсутствие последовательности в тактиках через детальный разбор отличий фреймворков ATT&CK и Cyber Kill Chain. В качестве финального довода приводится фреймворк The Unified Kill Chain, представляющий собой комбинацию ATT&CK и Cyber Kill Chain, цель которого — реализовать "этапность" для тактик ATT&CK |
| 31.01.2022 |
Евгений Зудилин соглашается с опровержением наличия "этапности" |
Полная хронология
| Дата |
События |
| 28.11.2021 |
Ольга Моск опирается на "этапность" как свойство тактик в одном доводов. Ее поддерживают Кирилл Митрофанов, Степан Богачев и Евгений Зудилин |
| 30.11.2021 |
Павел Кузнецов и Даниил Югославский выражают несогласие с данной позицией |
| 1.12.2021 |
Кирилл Митрофанов опирается на Cyber Kill Chain в качестве аргумента в пользу наличия этапности в тактиках ATT&CK: "Их составили, чтобы показать на каком этапе что может происходить, но эти этапы в хронологическом порядке расположены. в килчейне 7 этапов выделили и там тоже прослеживается последовательность" |
| Евгений Зудилин предполагает что "пошаговая схема была выбрана, чтобы защищающиеся могли определить для себя приоритеты: последовательность расположения тактик помогает определить порядок действий" |
| 03.12.2021 |
Даниил Югославский доказывает отсутствие приоритета и последовательности в тактиках через отсутствие упоминания данных характеристик в официальной документации фреймворка и несоответствие основанию деления на тактики |
| Кирилл Митрофанов не соглашается, ссылаясь на противоречие в доказательстве, которое самостоятельно сформировал, вырывав слова из контекста. Вместе с тем, доказательство подвергается неконструктивной критике через подмену тезиса "Я не думаю, что это просто бонус такой и случайно получилось" |
| 11.12.2021 |
Даниил Югославский доказывает отсутствие последовательности через явное упоминание данного факта в официальном FAQ MITRE ATT&CK |
| Кирилл Митрофанов не соглашается, мотивируя это наличием последовательности у некоторых тактик, а также тем, что "матрица в целом отражает последовательность" |
| Павел Кузнецов ставит под сомнение довод в пользу "этапности" для всех тактик, основанный на наличии этой последовательности у некоторых тактик |
| 15.12.2021 |
Евгений Зудилин опирается на схему соответствия тактик ATT&CK с этапами Cyber Kill Chain в качестве аргумента в пользу наличия последовательности в тактиках ATT&CK |
| 21.12.2021 |
Даниил Югославский доказывает отсутствие последовательности в тактиках через детальный разбор принципа образования тактик (описанного в официальном гайде), описание роли тактики как признака техники в момент наблюдения (безотносительно предыдущих и будущих действий)
|
| Кирилл Митрофанов не соглашается, мотивируя это тем, что "визуально это всё смотрится как некая последовательность [...] и в этом есть некий контекст, который необходимо учитывать", "я вижу, что тактики расположены в последовательности. Мне легче ориентироваться и смапить это все на килчейн" |
| Евгений Зудилин поддерживает позицию Кирилла Митрофанова |
| Даниил Югославский ставит под сомнение довод в пользу "этапности" основанный на "визуальном" и просит формировать доказательства через архитектуру, документацию, задачи фреймворка |
| Кирилл Митрофанов подвергает доказательство неконструктивной критике через подмену тезиса "поэтому надо игнорировать видимое и не придавать значение тому, вот так карты (тактики) легли" и завершает свое участие постулируя "За сим считаю свою позицию по вопросу высказанной и аргументированной" |
| 23.12.2021 |
Даниил Югославский доказывает отсутствие последовательности в тактиках через детальный разбор отличий фреймворков ATT&CK и Cyber Kill Chain. В качестве финального довода приводится фреймворк The Unified Kill Chain, представляющий собой комбинацию ATT&CK и Cyber Kill Chain, цель которого — реализовать "этапность" для тактик ATT&CK |
| 31.01.2022 |
Евгений Зудилин соглашается с опровержением наличия "этапности" |
Участники
Архив
Оригинальные сообщения доступны в
дискуссионной комнате.
Веб-версия обсуждения сохранена для индексации поисковыми системами.
Zip-архив обсуждения сохранен для обеспечения целостности (неизменности), которая гарантируется хеш-функцией SHA-256:
|
$ shasum -a 256 archive/dc_1.zip
64d10803f887642be68a9f9e13435cef84d3bb4a70fcdeb6805e9da3539e6ece archive/dc_1.zip
|
Главная | Кодекс поведения | Дискуссии | Вопросы и ответы