MITRE ATT&CK®

Полное практическое руководство по MITRE ATT&CK: от теории к практике. Разбираем структуру матрицы, учимся читать карточки техник и получаем пошаговую инструкцию по регистрации на официальном сайте для доступа к расширенным возможностям.

Энциклопедия хакерских методов: зачем нужен MITRE ATT&CK каждому, кто занимается безопасностью

В предыдущей статье мы кратко упомянули MITRE ATT&CK как методологию. Сегодня мы погрузимся в него с головой: разберем структуру, покажем конкретные примеры из первоисточника, научимся читать карточки техник и, самое главное, дадим пошаговую инструкцию, как зарегистрироваться и получить доступ к расширенным возможностям этого фреймворка.

1. Анатомия матрицы MITRE ATT&CK

Прежде чем переходить к практике, нужно понять, как устроен этот “периодический закон” хакерских элементов. Вся база построена вокруг двух ключевых понятий: Тактики (Tactics) и Техники (Techniques).

• Тактика (Tactic) — это «зачем?». Какова цель злоумышленника на данном этапе? Например, получить первоначальный доступ, выполнить код, закрепиться в системе, украсть данные.
• Техника (Technique) — это «как?». Какой конкретный способ использует хакер для достижения этой цели? Например, фишинг, использование уязвимости, подбор пароля.

Матрица визуально представляет собой таблицу, где столбцы — это тактики, а строки — техники. Техники могут быть применимы к нескольким тактикам и иметь под-техники (sub-techniques) для большей детализации.

Пример из реальной матрицы: T1566 — Фишинг

Давайте разберем одну из самых популярных техник. Заходим на официальный сайт attack.mitre.org и ищем технику T1566. Вот что мы видим:

Что это нам дает? Мы получаем не просто название угрозы, а структурированное знание: точное описание, варианты реализации (под-техники), конкретные рекомендации, что делать, чтобы это обнаружить и предотвратить.

2. Связь с реальными группировками

Одна из самых ценных частей MITRE ATT&CK — это привязка техник к реальным хакерским группировкам. Вы можете посмотреть, какие техники использует та или иная группа, изучить их “почерк” и на основе этих данных выстраивать защиту.

Пример: Группа FIN7 (G0046)

Практическая польза: Если ваша компания работает в сфере ритейла или финансовом секторе, группа FIN7 представляет для вас прямую угрозу. Используя базу MITRE ATT&CK, вы можете проверить, защищены ли вы от тех конкретных 60+ техник, которые они применяют. Это позволяет строить защиту не абстрактно, а под реального, наиболее вероятного противника, уже засветившегося в атаках на компании вашего профиля.

3. Софт — инструменты хакеров

В базе также описаны инструменты и вредоносное ПО, которые используют группировки.

Пример: Инструмент Cobalt Strike (S0154)

Зная, что Cobalt Strike использует технику T1055 (внедрение в процессы), вы можете настроить ваши EDR-решения на детектирование специфических паттернов этого внедрения.

4. Как зарегистрироваться и пользоваться сервисом

MITRE ATT&CK — это открытый ресурс, и для базового просмотра регистрация не нужна. Весь контент доступен на сайте attack.mitre.org. Однако, если вы хотите интегрировать эти данные в свои системы (SIEM, SOAR, TIP) или получать обновления автоматически, вам понадобится доступ к STIX/TAXII-серверу MITRE. Для этого регистрация обязательна.

Пошаговая инструкция по регистрации и получению доступа к данным

Шаг 1. Базовое использование

1. Перейдите на сайт https://attack.mitre.org.
2. Используйте верхнее меню для навигации:
   • MATRICES — посмотреть матрицы для разных платформ (Enterprise, Mobile, ICS).
   • TACTICS — список всех тактик с пояснениями.
   • TECHNIQUES — полный список всех техник. Удобно искать по ID или названию.
   • GROUPS — список хакерских группировок.
   • SOFTWARE — список вредоносного ПО и легитимных инструментов, используемых хакерами.

Шаг 2. Регистрация для доступа к STIX/TAXII

STIX (Structured Threat Information Expression) — это машинно-читаемый формат данных об угрозах. TAXII (Trusted Automated eXchange of Indicator Information) — это протокол для передачи этих данных. MITRE предоставляет свой TAXII-сервер, с которого можно “стримить” все обновления ATT&CK прямо в ваши системы.

1. Перейдите на страницу регистрации Центра приема угроз MITRE: https://center-for-threat-informed-defense.github.io/taxii-server/ или непосредственно на форму регистрации: https://forms.office.com/g/5E5z00PBWf
2. Заполните форму на английском языке. Обычно требуется:
   • Имя и фамилия (Name)
   • Электронная почта (Email) — лучше использовать корпоративную.
   • Название организации (Organization)
   • Страна (Country)
   • Краткое описание целей использования (Intended Use) — например, “Integration with our internal SIEM for threat detection and adversary emulation.”
3. Нажмите “Submit”.
4. Через некоторое время (обычно от нескольких часов до 1-2 рабочих дней) на указанную почту придет письмо с параметрами доступа к TAXII-серверу:
   • Discovery URL: Адрес TAXII-сервера.
   • Username / Password: Учетные данные для аутентификации (если требуется базовая аутентификация).
   • API Key: Возможно, вместо логина/пароля будет выдан ключ API.

Шаг 3. Подключение к TAXII-серверу

Полученные данные вы вводите в настройках вашего SIEM, TIP (Threat Intelligence Platform) или другого инструмента, который умеет работать по протоколу TAXII. Например, в таких системах как MISP, OpenCTI, Anomali, или в корпоративных SIEM (Splunk, ArcSight, MaxPatrol SIEM).

Пример команды для Python с использованием библиотеки taxii2-client:

from taxii2client.v20 import Server

# Данные, полученные при регистрации
server = Server("https://ctid-taxii-server.com/taxii2/",
                user="your_username",
                password="your_password")

# Получение списка коллекций
api_root = server.api_roots[0]
collections = api_root.collections

# Загрузка данных из первой коллекции
for collection in collections:
    print(f"Collection: {collection.title}")
    envelopes = collection.get_objects()
    for bundle in envelopes['objects']:
        # Обработка объектов STIX (техники, группировки и т.д.)
        print(bundle)

Этот скрипт подключится к серверу и загрузит все последние данные ATT&CK в структурированном виде, готовом для автоматической обработки.

5. Как мы используем MITRE ATT&CK в работе

В ООО «Стратегия Ра» MITRE ATT&CK — это не просто справочник, а рабочий инструмент, встроенный в наши процессы:

1. Для моделирования угроз: Мы не говорим абстрактно “вас могут взломать”. Мы создаем профиль угроз, основанный на техниках из ATT&CK, которые актуальны для вашей отрасли и региона. Если вы промышленное предприятие, мы смотрим на техники, которые использовались против ICS-систем.
2. Для проверки покрытия SIEM: Мы берем список техник, критичных для вас, и проверяем, настроена ли ваша SIEM-система на детектирование событий, соответствующих этим техникам. Если SIEM не видит технику T1003 (OS Credential Dumping) — значит, вы пропустите кражу паролей.
3. Для эмуляции атак: Мы строим сценарии тестирования на проникновение не “как получится”, а как точную имитацию действий конкретной группировки, взяв за основу перечень техник, которые она использует из MITRE ATT&CK.
4. Для обучения: Когда мы объясняем заказчику важность того или иного средства защиты, мы просто показываем карточку техники из ATT&CK: “Вот смотрите, это официально задокументированный метод взлома. Ваш новый файервол как раз должен его блокировать”.