Перейти к содержанию

MITRE

На этой странице собраны различные фреймворки, инструменты, проекты MITRE.

Перечисленные проекты, в особенности MITRE ATT&CK®, могут оказать большую помощь уже на этапе проектирования системы защиты информации.

К примеру, в матрице можно будет найти группировки которые работают преимущественно в том же секторе экономики, что и абстрактная организация для которой необходимо спроектрировать систему защиты информации. Изучая сведения о таких группировках, их тактик, техник, используемых инструментов, можно получить целевые рекомендации по противодействию атакам с их стороны, что в конечном итоге поможет защититься не только от конкретной группировки, но и качественно усилить систему защиты в целом.

MITRE ATT&CK® фреймворк

MITRE ATT&CK® (Adversarial Tactics, Techniques and Common Knowledge) - обширная общедоступная база знаний о поведении злоумышленников в области ИБ.

Организована в виде матрицы в которой собраны тактики (цели злоумышленников) и техники (способы достижения целей). Кроме того, содержит в себе:

  • подробное описание каждой тактики и техники

  • способы обнаружения

  • способы противодействия

  • реальные примеры применения конкретной тактики/техники конкретными группировками

  • ссылки на внешние дополнительные ресурсы с дополнительной информацией

Существуют матрицы для корпорпативного сегмента, мобильных устройств, АСУ ТП.

На странице каждой из сущностей (тактика, техника, подтехника) имеются соответстующие разделы с полезной информацией:

  • На странице тактики содержится: информация о тактике, перечень и краткое описание [под]техник входящих в тактику

  • На странице техники/подтехники содержится: информация о технике, [перечень подтехник], перечень и краткое описание процедур, способов обнаружения, способов митигации. Кроме того, можно получить сведения о том, какая из APT была замечена за реализацией конкретной техники

На сайте имеется полнотекстовый поиск для оперативного получения требуемой информации.

Для работы с матрицей ATT&CK® (Например для составление своих собственных Kill Chain в процессе моделирования угроз) имеется веб-сервис ATT&CK Navigator

MITRE CAR - Cyber Analytics Repository

Репозиторий MITRE CAR это база знаний аналитических сведений на основе техник из матрицы MITRE ATT&CK®. Предстваляет из себя образцы псевдокода, или конкретные примеры реализации противодействия техникам из матрицы MITRE ATT&CK®.

MITRE Engage

MITRE Engage - фреймворк для планирования и реализации взаимодействия с противником. Под взаимодействием тут понимаются различные способы ввести атакующего в заблуждение, что в итоге уменьшит возможности достижения атакующим своих конечных целей, а также предоставит защищающимся больше сведений о его TTP.

MITRE D3fend

MITRE D3fend - сервис который позволяет смапировать защитные меры с TTP из матрицы MITRE ATT&CK®.

MITRE Emulation Plans

MITRE организовала некомерческую организацию Center of Threat-Informed Defence (CTID), в которою так же входят такие компании как AttackIQ, Verizon, Microsoft, Red Canary, Splunk. Задачей CTID является углубленное изучение тактик и техник APT группировок, с дальнейшей публикацией проделанной работы с сообществом.

К примеру, на странице CTID в Github имеется публичный репозиторий adversary_emulation_library где можно ознакомится с указанными выше материалами.