Перевод MITRE ATT&CK и ее маппинг на техники ФСТЭК

Перевод MITRE ATT&CK и ее маппинг на техники ФСТЭК

В пятницу, на конференции Kaspersky ICS Cybersecurity Conference, я выступал с темой "Основные сценарии реализации угроз на АСУ ТП и их преломление на методику оценки угроз ФСТЭК" (презентацию выложил в своем Telegram-канале). К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).

Ключевая идея моей презентации заключалась в том, что моделировать угрозы по методике ФСТЭК можно (по-крупному) двумя путями - сверху вниз и снизу вверх. В первом случае мы последовательно выполняем все шаги методики, перебираем все возможные угрозы и сценарии их реализации и на выходе получаем список актуальных угроз, который, в зависимости от типа организации, должен или не должен быть согласован с регулятором. Второй подход, как мне кажется, более практичен и применим именно к АСУ ТП, в которых атак пока гораздо меньше, чем в корпоративных сетях. Поэтому вместо моделирования сверху вниз можно отталкиваться от уже известных инцидентов, которые просто надо описать с помощью методики ФСТЭК. И тут нас подстерегает засада - все известные отчеты по инцидентам на АСУ ТП, в том числе написанные и нашими лицензиатами, описывают техники и тактики нарушителей по MITRE ATT&CK. А ФСТЭК требует моделировать по своей "матрице" техник и тактик, которые отличаются от MITRE. Поэтому я и задался целью связать то, что принято во всем мире как стандарт де-факто (пусть и неидеальный) и что требует делать ФСТЭК.

Первым делом я перевел текущую, девятую версию матрицы MITRE ATT&CK на русский язык. Да, я прекрасно понимаю, что специалист по ИБ должен знать английский и должен самостоятельно читать матрицу MITRE в оригинале, но, увы, это пожелание далеко от реализации и многие не так хорошо говорят/понимают по-английски, как того хотелось бы. Да чего там, я сам не могу похвастаться хорошим знанием языка :-) Но это не помешало мне перевести названия техник ATT&CK на русский язык.


При этом я переводил только названия техник, без их описания (там многовато текста набирается). Но так как в этом случае далеко не всегда понятно, что означает оригинальная техника, я в русский перевод добавил некоторые уточнения. Надеюсь будет понятно. Кроме того, перевод позволил и самому чуть лучше начать разбираться в техниках злоумышленников. Так что даже если перевод никому не пригодится, то лично для меня это упражнение оказалось полезным.


Второй и, наверное, более серьезной задачей было найти соответствие между 145 техниками ФСТЭК и 400+ техник MITRE ATT&CK. Сразу скажу, что это была более сложная работа, так было не всегда просто понять, что имел ввиду наш регулятор под той или иной техникой? Иногда техники повторялись по смыслу, но чуть-чуть отличались по тексту. Иногда смысл техники вообще ускользал от меня. Иногда техника ФСТЭК могла быть описана сразу несколько техниками ATT&CK. В ряде случаев у техник ФСТЭК отсутствовал аналог в ATT&CK (такое тоже было, но нечасто). Наконец, необходимо отметить, что если ATT&CK использует не только техники, но и подтехники, описывающие детали реализации для конкретной платформы (Windows, Linux, облака и т.п.), то у ФСТЭК все ограничивается только уровнем техник, что также не всегда позволяет сделать четкое сопоставление.


В итоге я выполнил достаточно творческое упражнение, в результате которого транслировал техники ФСТЭК в техники MITRE ATT&CK. Допускаю, что у кого-то может быть свой вариант маппинга (я знаю, как минимум, о двух схожих инициативах), но, думаю, что моя оценка точна более чем на 80%.  


В октябре должна быть анонсирована новая, 10-я версия, MITRE ATT&CK и я планирую обновить свои переводы и маппинг. Кроме того, у меня в планах перевести матрицу ATT&CK for ICS, провести маппинг техник ФСТЭК с ней, а также провести обратный маппинг - из ATT&CK в ФСТЭК. Пока все сделано в Excel (мне было так удобнее), но, возможно, я сменю формат или просто экспортирую перевод и маппинг в что-то другое (ODS или CSV).

Переводы и маппинг выложил пока в свой Telegram-канал "Пост Лукацкого" , но думаю над Google.Drive и Github (точнее я туда уже тоже выложил, но пока не пойму, где удобнее). Но судя по опросу, проведенному в Телеграме, большинству удобнее, чтобы файлы были выложены именно там.

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем темную материю и подписчиков!

Одно найти легче, чем другое. Спойлер: это не темная материя

Станьте частью научной Вселенной — подпишитесь
article-title

Алексей Лукацкий