В пятницу, на конференции Kaspersky ICS Cybersecurity Conference, я выступал с темой "Основные сценарии реализации угроз на АСУ ТП и их преломление на методику оценки угроз ФСТЭК" (презентацию выложил в своем Telegram-канале). К этому выступлению я планировал завершить перевод последней версии матрицы MITRE ATT&CK v9 на русский язык и маппинг техник ФСТЭК в техники MITRE ATT&CK, что и было сделано (ссылки будут ниже).
Ключевая идея моей презентации заключалась в том, что моделировать угрозы по методике ФСТЭК можно (по-крупному) двумя путями - сверху вниз и снизу вверх. В первом случае мы последовательно выполняем все шаги методики, перебираем все возможные угрозы и сценарии их реализации и на выходе получаем список актуальных угроз, который, в зависимости от типа организации, должен или не должен быть согласован с регулятором. Второй подход, как мне кажется, более практичен и применим именно к АСУ ТП, в которых атак пока гораздо меньше, чем в корпоративных сетях. Поэтому вместо моделирования сверху вниз можно отталкиваться от уже известных инцидентов, которые просто надо описать с помощью методики ФСТЭК. И тут нас подстерегает засада - все известные отчеты по инцидентам на АСУ ТП, в том числе написанные и нашими лицензиатами, описывают техники и тактики нарушителей по MITRE ATT&CK. А ФСТЭК требует моделировать по своей "матрице" техник и тактик, которые отличаются от MITRE. Поэтому я и задался целью связать то, что принято во всем мире как стандарт де-факто (пусть и неидеальный) и что требует делать ФСТЭК.
Первым делом я перевел текущую, девятую версию матрицы MITRE ATT&CK на русский язык. Да, я прекрасно понимаю, что специалист по ИБ должен знать английский и должен самостоятельно читать матрицу MITRE в оригинале, но, увы, это пожелание далеко от реализации и многие не так хорошо говорят/понимают по-английски, как того хотелось бы. Да чего там, я сам не могу похвастаться хорошим знанием языка :-) Но это не помешало мне перевести названия техник ATT&CK на русский язык.
Переводы и маппинг выложил пока в свой Telegram-канал "Пост Лукацкого" , но думаю над Google.Drive и Github (точнее я туда уже тоже выложил, но пока не пойму, где удобнее). Но судя по опросу, проведенному в Телеграме, большинству удобнее, чтобы файлы были выложены именно там.