MITRE ATT&CK Framework

Adversarial Tactics, Techniques, and Common Knowledge

MITRE ATT&CK — это глобально доступная база знаний о тактиках и техниках злоумышленников, основанная на реальных наблюдениях. Используется для разработки моделей угроз, оценки защищенности и улучшения обнаружения атак.

Initial AccessTA0001
ExecutionTA0002
PersistenceTA0003
Privilege EscalationTA0004
Defense EvasionTA0005
T1566
Phishing
T1190
Exploit Public-Facing Application
T1133
External Remote Services
T1078
Valid Accounts
T1059
Command and Scripting Interpreter
T1053
Scheduled Task/Job
T1204
User Execution
T1106
Native API
T1543
Create or Modify System Process
T1547
Boot or Logon Autostart Execution
T1098
Account Manipulation
T1505
Server Software Component
T1068
Exploitation for Privilege Escalation
T1055
Process Injection
T1053
Scheduled Task/Job
T1078
Valid Accounts
T1070
Indicator Removal
T1036
Masquerading
T1027
Obfuscated Files or Information
T1562
Impair Defenses
Credential AccessTA0006
DiscoveryTA0007
Lateral MovementTA0008
CollectionTA0009
ExfiltrationTA0010
T1110
Brute Force
T1003
OS Credential Dumping
T1081
Credentials in Files
T1040
Network Sniffing
T1057
Process Discovery
T1083
File and Directory Discovery
T1018
Remote System Discovery
T1069
Permission Groups Discovery
T1021
Remote Services
T1080
Taint Shared Content
T1550
Use Alternate Authentication Material
T1534
Internal Spearphishing
T1005
Data from Local System
T1039
Data from Network Shared Drive
T1074
Data Staged
T1560
Archive Collected Data
T1041
Exfiltration Over C2 Channel
T1048
Exfiltration Over Alternative Protocol
T1567
Exfiltration Over Web Service
T1020
Automated Exfiltration

Ключевые концепции MITRE ATT&CK

📋 Тактики (Tactics)

Представляют цели злоумышленника на каждом этапе атаки. Отвечают на вопрос "ЗАЧЕМ?" атакующий выполняет действие.

🔧 Техники (Techniques)

Описывают способы достижения тактических целей. Отвечают на вопрос "КАК?" злоумышленник достигает цели.

📝 Подтехники (Sub-techniques)

Более детальное описание техник. Например, T1566.001 - Phishing: Spearphishing Attachment.

🎯 Процедуры (Procedures)

Конкретные реализации техник определенными APT-группами или малварью.

Использование MITRE ATT&CK в SOC

🔍
Gap Analysis

Определение слепых зон в мониторинге и детектировании

📊
Coverage Assessment

Оценка покрытия техник правилами корреляции

🎯
Threat Hunting

Проактивный поиск следов использования техник

📈
Detection Engineering

Создание правил на основе техник ATT&CK

🔄
Incident Response

Маппинг инцидентов на техники для понимания TTP

📝
Reporting

Стандартизированное описание угроз и инцидентов

Популярные техники для мониторинга

🔴 Критичные

T1003 - OS Credential Dumping (Mimikatz)
T1055 - Process Injection
T1053 - Scheduled Task/Job
T1086 - PowerShell

🟡 Важные

T1547 - Registry Run Keys
T1070 - Indicator Removal
T1040 - Network Sniffing
T1021 - Remote Services

🟢 Базовые

T1057 - Process Discovery
T1083 - File Discovery
T1082 - System Information Discovery
T1016 - System Network Configuration