Сравнение техник и тактик нарушителей из методики ФСТЭК и матриц MITRE ATT&CK

 Как вы, наверное, знаете, новая методика моделирования угроз ФСТЭК России сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик.

Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются. Параллельно с этим существуют мировые лучшие практики по структурированию действий нарушителей кибербезопасности и самая популярная из них – матрица MITRE ATT&CK и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты.

Как применить MITRE ATT&CK на практике хорошо рассказал Алексей Лукацкий на недавнем вебинаре

Но что, если мы хотим взаимоувязать моделирование угроз по методике ФСТЭК России и анализ по матрицам MITRE?

Я вижу следующие возможные варианты интеграции этих двух каталогов:

·        Провести анализ актуальных техник и тактик и контрмер полностью по матрицам MITRE, а потом в модели угроз заменить их на наиболее подходящие техники и тактики из каталогов ФСТЭК.  

·        Провести анализ изначально по методике ФСТЭК, определить актуальные техники и тактики из каталогов ФСТЭК и дополнить их техниками и тактиками из матрицы MITRE (какие то особенные техники, которых нет у ФСТЭК)

·        Провести анализ угроз только по методике ФСТЭК, но при выборе контрмер использовать имеющиеся у MITRE рекомендации по обнаружению и блокированию конкретных техник и тактик.

В сообществе давно говорят о необходимости установления соответствия между этими двумя каталогами, но пока никто не опубликовал ничего подобного.

Как амбассадор ИБ решил первым опубликовать такой анализ в своем втором блоге. Где это было возможно – определены соответствующие друг другу техники из каталогов ФСТЭК и MITRE.


Таблицы соответствия доступны на просмотр всем желающим. Вы можете использовать его в рамках своей текущей работы сравнивая ваши анализ с моим. Сделал небольшой видеообзор получившейся аналитики.

Если по каким-то причинам вам необходимы исходники (таблицы соответствия или доступ к онлайн базе знаний) то эта возможность будет доступна моим подписчикам на patreon или boosty.




Комментарии

Отправить комментарий

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Изображение
Как показывает практика, немногие организации помнят и руководствуются приказом ФАПСИ (правопреемником которой является ФСБ России) от 13 июня 2001 г. N 152 "Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну ". А ведь Инструкция является обязательной при использовании сертифицированных СКЗИ для обеспечения безопасности информации ограниченного доступа (подлежащей защите в соответствии с законодательством РФ).     А это ПДн, все виды тайн, ГИСы, НПСы, будущие КИИ. С 2008 по 2012 год для ПДн действовало послабление в виде “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обесп...
Далее...

Модель угроз безопасности клиента финансовой организации

Изображение
  Уже более 2 месяцев как вступил в силу методический документ ФСТЭК по моделированию угроз, а ни одного публичного примера модели угроз информационной безопасности сообществом не было опубликовано. Как мы обсуждали на межблогерском вебинаре по моделированию угроз ИБ , такой пример мог бы сильно помочь ответственным лицам, обязанным руководствоваться данной методикой. Пример модели угроз обещал сделать Алексей Лукацкий, но пока у него получилась серия публикаций про проблемы моделирования и примера ещё нет. В УЦСБ в рамках услуг по моделированию угроз, коллеги уже провели необходимую аналитику и подготовили внутренние средства автоматизации для разработки МУ, что уже говорит о возможности моделирования угроз по новой Методике.  К последнему межблогерскому вебинару по безопасности клиентов финансовых организаций я решил проверить насколько адекватной получится модель угроз для типового сегмента клиента ФО (а для данной статьи ещё и обновил графическое оформление). ...
Далее...

КИИ. Какие ГОСы попадают сферу КИИ?

Изображение
Срок на категорирование объектов критической информационной инфраструктуры РФ скоро заканчивается ; )   а многие организации только сейчас начинают планировать мероприятия в этой части. Если с коммерческими компаниями вопрос попадания или не попадания их в сферу действия ФЗ о безопасности КИИ решается достаточно просто, то с государственными органами и учреждениями ситуация сложнее. В ряде регионов от регуляторов проводилась рассылка на все гос. органы с требованием провести категорирование объектов КИИ. Но по факту им надо было сначала определится с попаданием с сферу КИИ, а потом уже проводить или не проводить категорирование. Вспомним рекомендации ФСТЭК в этой части: 1.        ОКВЭД. Давайте посмотрим несколько примеров. ·          Минздрав: 84 .11.21 - Деятельность органов государственной власти субъектов Российской Федерации (республик, краев, областей), кроме судебной власти, представительст...
Далее...