ATT&CK представляет собой базу знаний и систему классификаций действий злоумышленников, предпринимаемых ими в ходе кибератак. ATT&CK описывает вредоносные действия направленные против нескольких видов инфраструктур:

• ATT&CK for Enterprise — корпоративные сети и облачные вычисления;
• ATT&CK for ICS — системы промышленной автоматизации;
• ATT&CK for Mobile — мобильные устройства.

MITRE разработала ATT&CK в 2013 году для документирования Тактик, Техник и Процедур (ТТП), которые злоумышленники использовали для целенаправленных кибератак на корпоративные инфраструктуры под управлением ОС Windows. Фреймворк был создан с целью документирования действий злоумышленников для использования в исследовательском проекте MITRE под названием FMX. Целью FMX было исследование возможности использования аналитики и телеметрии операционных систем для обнаружения злоумышленников после получения ими доступа к корпоративным сетям. Команда нападения имитировала действия атакующих внутри специальной лаборатории, а команда защиты разрабатывала аналитику для обнаружения их действий. ATT&CK использовался в качестве основы для тестирования эффективности сенсоров и аналитики в рамках FMX, а также выступал общим языком для совместной работы команд нападения и защиты.

Тактика отвечает на вопрос «почему?» выполняется техника или подтехника ATT&CK. Это тактическая цель злоумышленника, причина совершения действия. Например, атакующему может быть необходимо закрепиться в системе.

Техника отвечает на вопрос «как?» злоумышленник достигает тактической цели, выполняя определенное действие. Например, атакующий может создать или модифицировать системный процесс чтобы закрепиться в системе.

Подтехника — это более конкретное, низкоуровневое описание действия злоумышленника. Например, атакующий может модифицировать системный сервис ОС Windows чтобы закрепиться в системе.

Процедура — это конкретная реализация техники или подтехники. Например, атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу. Процедуры классифицируются в ATT&CK как варианты реализации техник, выявленные в реальных компьютерных атаках. Они перечислены на страницах с описанием техник в секции «Procedure Examples».

Подтехники и процедуры описывают разные вещи в ATT&CK. Подтехники используются для классификации действий, а процедуры используются для описания реализации техник в реальных компьютерных атаках. Кроме того, поскольку процедуры являются конкретными реализациями техник и подтехник, они могут включать в себя несколько дополнительных действий. Например, процедура "атакующий модифицирует системный сервис через реестр Windows посредством утилиты Reg.exe, изменяя значение ключа ImagePath на путь к вредоносному исполняемому файлу" является реализацией техники T1112: Modify Registry и подтехники T1543.003: Create or Modify System Process: Windows Service.

Корпоративные инфраструктуры под управлением Windows, macOS и Linux; сетевые устройства и технологии контейнерной виртуализации; облачные вычисления, такие как Инфраструктура как услуга (IaaS), Программное обеспечение как услуга (SaaS), Office 365, Azure Active Directory (Azure AD) и Google Workspace.
Устройства промышленных сетей, серверы управления, серверы архивных данных, инженерные рабочие станции, полевые контроллеры/RTU/PLC/IED, человеко-машинные интерфейсы (HMI), серверы ввода/вывода, системы противоаварийной защиты (SIS), терминалы релейной защиты и автоматики.
Мобильные устройства под управлением Android и iOS.

ATT&CK можно использовать для поддержки различных процессов обеспечения защищенности, развития архитектуры безопасности, исследования киберугроз и так далее. Обратитесь к странице Getting Started для получения информации о том, как начать использовать ATT&CK. Также ознакомьтесь с разделами Resources и Blog чтобы узнать о связанных проектах и других материалах.

Два раза в год.

Главными источниками данных в ATT&CK являются публично доступные отчеты об инцидентах и исследованиях киберугроз. Из них выделяются общие ТТП. Также используются публично доступные исследования новых техник, схожих с уже известными вредоносными действиями. Это необходимо поскольку новые ТТП быстро принимаются на вооружение действующими преступными группировками. Для получения дополнительной информации см. The Design and Philosophy of ATT&CK.

Ознакомьтесь с разделом Contribute.

Пожалуйста, свяжитесь с командой ATT&CK прежде чем браться за описание новой техники/группы/программного обеспечения. То что вы хотите добавить может уже разрабатываться другими аналитиками. Так вы сможете избежать лишней работы. Ваше авторство будет отмечено в финальной версии аналитики. На текущий момент, команда наиболее заинтересована в ТТП направленных против macOS и Linux.

Команда ATT&CK старается обработать как можно больше отчетов об угрозах, но это все что удалось опубликовать на текущий момент. Если вы обладаете недостающей информацией, помогите команде и сообществу, внеся свой вклад в ATT&CK. Свяжитесь с командой чтобы узнать работают ли они над описанием этой группы. В разделе Contribute доступны рекомендации по форматированию для заявок на добавление групп и программного обеспечения.

Да! Ознакомьтесь со страницей Interfaces for Working with ATT&CK.

Следите за новостями в Твиттере @MITREattack и публикациями в Блоге.

За новостями на русском языке можно следить в телеграм канале русскоязычного сообщества: @attack_community_channel.

Каждая модель и фреймворк могут решать разные задачи. Команда разработчиков описала несколько сценариев, в которых ATT&CK может быть использован для получения подробной информации о действиях злоумышленников. Большинство моделей и фреймворков комплементарны к ATT&CK, поэтому вам не обязательно выбирать что-то одно.

ATT&CK и Diamond Model дополняют друг друга. ATT&CK подробно описывает действия злоумышленников, тогда как Diamond Model может быть использована для группировки нескольких инцидентов. Они могут использоваться вместе. Например, техники с привязкой к ATT&CK могут быть полезным источником данных для анализа возможностей атакующих посредством Diamond Model.

ATT&CK и Cyber Kill Chain дополняют друг друга. ATT&CK описывает действия злоумышленников более детально, в отличии от Cyber Kill Chain. Тактики ATT&CK не имеют определенной последовательности и не всегда все из них встречаются в ходе одного вторжения, поскольку тактические цели атакующего меняются на протяжении всей операции. Cyber Kill Chain, в свою очередь, предлагает упорядоченные, следующие друг за другом фазы компьютерной атаки.

MITRE ATT&CK® и ATT&CK® являются зарегистрированными товарными знаками корпорации MITRE.

• Ваши первые упоминания в письменной форме должны включать «MITRE» перед «ATT&CK®», а после этого следует просто использовать «ATT&CK» (символ зарегистрированного товарного знака не требуется).
1. - Пример первого упоминания: MITRE ATT&CK® представляет собой официально поддерживаемую базу знаний и модель поведения злоумышленников...
2. - Пример последующих упоминаний: ATT&CK помогает понять какие угрозы кибербезопасности могут представлять известные действия злоумышленников...
• Заголовок всегда должен ссылаться на «MITRE ATT&CK» вместе (ни в коем случае не только на «ATT&CK®»).
• Всегда используйте заглавные буквы в «ATT&CK», чтобы отделить ее от окружающего текста.
• Не изменяйте товарный знак, например, с помощью дефисов или аббревиатур. Например, "ATT&CK'd!", "Plan-of-ATT&CK", "ATTK".
• Вы не можете использовать товарный знак ATT&CK каким-либо образом отображая принадлежность к MITRE, спонсорство или поддержку со стороны MITRE.
• Вы не можете использовать товарный знак ATT&CK каким-либо образом предполагая что материалы третьих лиц представляют взгляды и мнения MITRE или сотрудников MITRE, за исключением случаев, когда эти третьи стороны получили прямое разрешение от MITRE.
• Вы не можете использовать ATT&CK в названиях своих продуктов, услуг, товарных знаков, логотипах или названиях компаний.

Белый в формате .jpg.
Черный в формате .png.
Белый в формате .png .
Серый в формате .png.

Если вам нужен логотип MITRE ATT&CK в векторном формате, свяжитесь с командой ATT&CK.

Да. ATT&CK открыт и доступен любому человеку или организации для бесплатного использования. Если вы решили использовать ATT&CK, следуйте условиям использования. Если у вас есть дополнительные вопросы, свяжитесь с командой по адресу attack@mitre.org.
Помните, что вы не можете использовать MITRE ATT&CK, MITRE или ATT&CK таким образом, который предполагает одобрение какого-либо продукта или услуги. MITRE не поддерживает организации, отдельных лиц и т.д., которые используют MITRE ATT&CK в своей работе. Использование MITRE ATT&CK не означает одобрения или поддержки со стороны MITRE.