← Закрепление и его обнаружен…Как устроен Active Director… →

MITRE ATT&CK как карта для защиты

Чтобы защищаться системно, нужен общий словарь того, что вообще делают атакующие, — этим словарём стала MITRE ATT&CK.

MITRE ATT&CK — открытая база знаний о тактиках и техниках атакующих, наблюдаемых в реальных инцидентах. Она даёт единый язык для описания того, «что и как делает противник», и служит каркасом для построения защиты.

Без общей карты каждый описывает атаки по-своему: один говорит «закрепился через автозапуск», другой — «сделал персистенцию», третий — «прописался в системе». ATT&CK наводит порядок: у каждой техники есть имя и идентификатор (вида T1547), и теперь команда защиты, аналитики и поставщики СЗИ говорят на одном языке. Для Blue Team это не теория, а рабочий инструмент: по карте видно, что атакующий может предпринять на каждом этапе, и насколько ваша защита это покрывает.

Зачем это знать защитнику

ATT&CK переводит разговор о безопасности из эмоций («у нас вроде нормально») в измеримую плоскость («мы детектируем такие-то техники, а вот эти — нет»). Это позволяет приоритизировать вложения: закрывать сначала те техники, что реально применяют против вашей отрасли, и видеть пробелы в детектировании до того, как их найдёт настоящий атакующий.

Как устроена карта: тактики и техники

Структура двухуровневая и очень практичная.

ПонятиеЧто этоПример
Тактиказачем — цель этапа атаки (колонка матрицы)Privilege Escalation, Lateral Movement, Persistence
Техникакак — конкретный способ достичь цели«закрепление через элементы автозапуска» (T1547)
Субтехникауточнение техникиконкретный ключ реестра автозапуска
Процедуракак технику применяла конкретная группировканаблюдаемая реализация в инциденте

Тактики выстроены примерно в порядке атаки — от первичного доступа до воздействия на данные. Три темы из предыдущих уроков ложатся прямо на матрицу: повышение привилегий, боковое перемещение и закрепление — это всё отдельные тактики ATT&CK. То есть мы уже изучали карту, просто теперь даём ей названия.

Как защитник пользуется картой

Базовый рабочий цикл Blue Team вокруг ATT&CK выглядит так (это процесс, а не команда):

1. Взять технику (напр. T1547, автозапуск).
2. Спросить: «Увидим ли мы её в наших логах?»
3. Если нет источника данных — добавить телеметрию (аудит автозапуска, EDR).
4. Написать или проверить правило детекта под технику.
5. Отметить технику на карте покрытия: есть детект / нет / частично.
6. Перейти к следующей технике, приоритет — по реальной угрозе.

Итог такого прохода — карта покрытия (часто визуализируют через ATT&CK Navigator): наглядная картина, какие техники вы видите, а где слепые зоны. Это и есть переход от «надеемся» к «знаем».

Соберём карту из трёх прошлых уроков

Чтобы карта покрытия не звучала абстрактно, разложим по ней ровно те три темы, что мы уже разобрали, и честно отметим состояние детекта:

Тактика               Источник данных            Детект
Privilege Escalation  auditd / новые SUID         есть
Lateral Movement      логи аутентификации (SIEM)  частично
Persistence           аудит автозапуска / EDR     есть

Такая таблица сразу показывает приоритет: «частично» по боковому перемещению — кандидат на доработку телеметрии. Заметьте, что в каждой строке ключевую роль играет источник данных: без нужных логов техника не детектируется в принципе, какое бы правило вы ни написали. Поэтому ATT&CK заставляет начинать не с правил, а с вопроса «а собираем ли мы вообще данные, в которых эта техника видна?».

Один словарь для всей команды

Ценность общего языка проявляется и за пределами техники. Когда инцидент описан через ATT&CK, аналитик SOC, инженер по детектам, руководитель и внешний подрядчик понимают друг друга без переводов: «закрыли T1547, осталось покрыть Lateral Movement» — это конкретная, проверяемая фраза, а не «вроде стало безопаснее». Тот же словарь связывает вас с внешним миром: отчёты об угрозах и фиды threat intelligence тоже говорят на ATT&CK, так что вы можете прямо сопоставить «что делают активные группировки» со «что мы умеем ловить».

Как это работает под капотом

ATT&CK ничего не «делает» технически — это структурированное знание, выжимка из тысяч разобранных инцидентов. Его сила в трёх связках. Детект ↔ техника: каждое правило в SIEM/EDR помечается идентификатором техники, и сразу видно, что закрыто. Threat hunting ↔ гипотеза: охота на угрозы начинается с гипотезы «противник мог применить технику T____ — поищем её следы», и матрица подсказывает, какие следы искать. Threat intelligence ↔ профиль противника: отчёты об активных группировках описывают их через техники ATT&CK, и вы можете прицельно усилить защиту против тех, кто реально работает по вашему сектору.

Как защититься (применить ATT&CK)

  • Сопоставляйте детекты с техниками. Промаркируйте существующие правила и алерты идентификаторами ATT&CK — получите честную картину покрытия и список пробелов.
  • Закрывайте слепые зоны по приоритету. Начинайте с техник, актуальных для вашей отрасли (по threat intelligence), и с тех тактик, где провал критичен (Persistence, Privilege Escalation).
  • Стройте threat hunting по гипотезам. Берите технику, формулируйте, какие следы она оставит, и проактивно ищите их в телеметрии — не дожидаясь срабатывания правил.
  • Проверяйте защиту контролируемо. Эмуляция отдельных техник в изолированной лаборатории (purple team) показывает, действительно ли ваши детекты срабатывают. Делается только в своей среде и с разрешения.
  • Говорите на общем языке. Описывайте инциденты и отчёты в терминах ATT&CK — это ускоряет коммуникацию между Blue Team, руководством и подрядчиками и делает прогресс измеримым.

Юридическое напоминание: эмуляция техник и тестирование детектов проводятся только в собственной или явно разрешённой среде. Воспроизведение техник против чужих систем без согласия владельца незаконно (УК РФ ст. 272–274).

Итоги

  • MITRE ATT&CK — общий язык и каркас защиты: тактики (зачем), техники (как), субтехники и процедуры.
  • Повышение привилегий, боковое перемещение и закрепление — это конкретные тактики на матрице.
  • Главная ценность для Blue Team — карта покрытия: видно, какие техники детектируются, а где слепые зоны.
  • ATT&CK связывает детекты, threat hunting и threat intelligence, превращая защиту из «надеемся» в измеримый и приоритизируемый процесс.
Проверьте себя
1. Чем в модели MITRE ATT&CK тактика отличается от техники?
AТактика — это название вредоносной программы, а техника — её версия
BТактика отвечает на «зачем» (цель этапа атаки), техника — на «как» (конкретный способ её достичь)
CТактика применяется только в защите, а техника — только в нападении
DМежду ними нет разницы, это синонимы
2. Какую главную пользу ATT&CK даёт Blue Team при сопоставлении с детектами?
AАвтоматически блокирует все известные техники без настройки
BЗаменяет необходимость собирать логи и телеметрию
CДаёт карту покрытия: видно, какие техники детектируются, а где слепые зоны для приоритизации
DГарантирует, что атакующий не сможет применить новые техники