Сравнение техник и тактик нарушителей из методики ФСТЭК и матриц MITRE ATT&CK

 Как вы, наверное, знаете, новая методика моделирования угроз ФСТЭК России сделала революцию в российских подходах к моделированию угроз – теперь нужно рассматривать угрозы – как комбинацию сценариев действий нарушителей, составленных из элементарных частиц – техник и тактик.

Но техники и тактики из методики ФСТЭК немного, они недостаточно сбалансированы и пока не обновляются. Параллельно с этим существуют мировые лучшие практики по структурированию действий нарушителей кибербезопасности и самая популярная из них – матрица MITRE ATT&CK и сопутствующие ей матрицы хакерских группировок, способов обнаружения и возможных мер защиты.

Как применить MITRE ATT&CK на практике хорошо рассказал Алексей Лукацкий на недавнем вебинаре

Но что, если мы хотим взаимоувязать моделирование угроз по методике ФСТЭК России и анализ по матрицам MITRE?

Я вижу следующие возможные варианты интеграции этих двух каталогов:

·        Провести анализ актуальных техник и тактик и контрмер полностью по матрицам MITRE, а потом в модели угроз заменить их на наиболее подходящие техники и тактики из каталогов ФСТЭК.  

·        Провести анализ изначально по методике ФСТЭК, определить актуальные техники и тактики из каталогов ФСТЭК и дополнить их техниками и тактиками из матрицы MITRE (какие то особенные техники, которых нет у ФСТЭК)

·        Провести анализ угроз только по методике ФСТЭК, но при выборе контрмер использовать имеющиеся у MITRE рекомендации по обнаружению и блокированию конкретных техник и тактик.

В сообществе давно говорят о необходимости установления соответствия между этими двумя каталогами, но пока никто не опубликовал ничего подобного.

Как амбассадор ИБ решил первым опубликовать такой анализ в своем втором блоге. Где это было возможно – определены соответствующие друг другу техники из каталогов ФСТЭК и MITRE.


Таблицы соответствия доступны на просмотр всем желающим. Вы можете использовать его в рамках своей текущей работы сравнивая ваши анализ с моим. Сделал небольшой видеообзор получившейся аналитики.

Если по каким-то причинам вам необходимы исходники (таблицы соответствия или доступ к онлайн базе знаний) то эта возможность будет доступна моим подписчикам на patreon или boosty.




Комментарии

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3