MITRE ATT&CK v19 запроваджує суттєві зміни, які кардинально змінюють підхід організацій до розуміння та оцінки поведінки зловмисників, зокрема скасовує тактику «Ухилення від захисту» та запроваджує тактики «Приховання» та «Погіршення захисту». Ці оновлення розширюють фокус за межі простого виявлення, щоб гарантувати, що засоби безпеки здатні протистояти прямим атакам і маніпуляціям — незалежно від того, чи зловмисники маскуються під легітимну діяльність, щоб уникнути виявлення, чи активно проривають і виводять з ладу системи захисту. Організації повинні завчасно підготуватися до цих змін і впровадити їх у практику, щоб постійно перевіряти ефективність своїх систем захисту проти нових тактик, методів та реальних загроз.
Короткий огляд змін та їхні переваги:
- Розподіл тактики Defense Evasion на дві тактики: Дізнайтеся, як прийоми та підприйоми тактики Defense Evasion – ухилення від оборони (що поєднує поведінку та наміри супротивника) були перенесені до інших тактик, причому більшість із них — до новостворених тактик: Stealth (прихованість) та Defense Impairment (погіршення захисту).
- Реструктуризація методу Impair Defenses: Дізнайтеся про реструктуризацію методу Impair Defenses (T1562) у метод (T1685) та пов’язані з ним техніки, що підкреслює перехід від стратегії уникнення атак, орієнтованої на виявлення, до стратегії послаблення захисних механізмів, а також про те, в яких випадках організації повинні підтверджувати, що засоби контролю безпеки здатні витримувати прямі атаки, виявляти їх та відновлюватися після них.
- Впровадження нових методів: Ознайомтеся з нещодавно запровадженими методами Defense Impairment (включно з новим підметодом) та методом Stealth, орієнтованим на соціальну інженерію, щоб налагодити та перевірити ефективність захисних заходів проти дій, що виводять з ладу засоби контролю або зловживають довірою людей.
- Як впровадити ATT&CK v19 на практиці: Дізнайтеся, як впровадити ATT&CK v19 на практиці, оновлюючи відповідності, визначити пріоритетність змін у ключових техніках та підтехніках, узгоджуючи перевірку з намірами зловмисника та впроваджуючи нові тактики та методи, а також використовуючи засоби автоматизації (наприклад, Cymulate) для оптимізації охоплення та зменшення обсягу ручної роботи.
- Cymulate та MITRE ATT&CK v19 на практиці: Дізнайтеся, як Cymulate допомагає організаціям повністю підготуватися до розширення тактики Defense Evasion, зокрема перевірити ефективність логіки виявлення щодо поведінки з низьким рівнем сигналів та високим контекстом, такої як маскування або зловживання легітимними інструментами (тактика Stealth), а також проактивно перевірити стійкість своїх засобів контролю до втручання, порушення реєстрації подій та перешкоджання роботі EDR (тактика Defense Impairment).
Що змінилося в ATT&CK v19
До найважливіших змін у MITRE ATT&CK v19 належать: вилучення тактики «Ухилення від захисту», створення 2 нових тактик, що замінюють тактику «Ухилення від захисту», реструктуризація техніки «Погіршення захисту» (T1562) та створення 2 нових технік/підтехнік, присвячених спробам зловмисників вивести з ладу засоби захисту та використати соціальну інженерію.
Зміна № 1: Пояснення та наслідки поділу тактики «Ухилення від захисту»
У зв’язку з вилученням тактики «Ухилення від захисту» організація MITRE запровадила дві окремі тактики: «Стелс» та «Погіршення захисту», як показано в таблиці нижче. Ця зміна забезпечує чіткіше розмежування, засноване на намірах зловмисника, а не лише на його поведінці, висвітлюючи дві принципово різні проблеми у сфері безпеки та оцінки загроз.
Таблиця 1: Нові тактики після вилучення тактики «Ухилення від захисту»
Більшість технік та підтехнік, які раніше відносилися до категорії «Ухилення від захисту» (94 %), було перерозподілено між новими тактиками «Прихованість» та «Порушення захисту». Водночас MITRE скористалася цією нагодою, щоб перенести меншу частину технік до інших існуючих тактик, таких як «Горизонтальне переміщення», «Підвищення привілеїв» та «Виконання», де вони точніше відображають наміри зловмисника. На малюнку нижче показано, як раніше категорія «Ухилення від захисту» об’єднувала широкий спектр дій зловмисників, і як ця перекласифікація тепер краще відповідає реальній діяльності.
Зміна № 2: Реорганізація методу «Impair Defenses»
Базовий метод T1562 (Impair Defenses) та кілька його підметодів зазнали значної реорганізації. T1562, разом із T1562.001 та T1562.006, була об’єднана в нову базову техніку T1685: Відключення або модифікація інструментів, тоді як решта підтехнік були скасовані та перевидані під новими ідентифікаторами в рамках тактики «Погіршення захисту».
Ця зміна виходить за межі простої зміни назви. Вона відображає зміну в підході захисників до таких дій. Раніше багато з цих дій об’єднували в категорію «Ухилення від захисту» як окремі підтехніки, які часто розглядали насамперед як завдання з виявлення. У версії 19 їх чітко класифіковано як «Погіршення захисту», підкреслюючи, що ці дії полягають не лише в приховуванні, а й в активному послабленні або виведенні з ладу засобів безпеки.
Зрештою, ця зміна підкреслює важливий зсув у підході організацій. Командам з безпеки недостатньо лише виявляти діяльність зловмисників; вони також повинні гарантувати, що їхні захисні механізми постійно функціонують, витримують прямі атаки та відновлюються після них.
Зміна № 3: Впровадження нових технік/підтехнік
У цьому випуску представлено три нові техніки/підтехніки, зазначені в таблиці нижче. Команди з безпеки повинні впровадити ці нові техніки та підтехніки, переконавшись, що вони мають необхідні заходи щодо мінімізації ризиків та стратегії виявлення. Детальніше про це читайте в наступному розділі, присвяченому впровадженню стратегій.
Таблиця 2: Опис нових технік та підтехнік
Як впровадити ATT&CK v19
Для організацій, які використовують фреймворк MITRE ATT&CK для оцінки безпеки та контролю охоплення, версія ATT&CK v19 передбачає значні зміни, що вимагають як оновлення відповідності, так і зміни підходу до оцінки засобів контролю.
Організації, що використовують платформи Automated Exposure Validation (AEV), такі як Cymulate, отримають переваги від автоматичних оновлень перехресних посилань, що забезпечить безперебійне приведення технік, підтехнік та тактик у відповідність до v19 з мінімальними зусиллями. Це усуває необхідність ручного перемапування та допомагає командам швидко зрозуміти, як їхнє існуюче охоплення перекладається на нову структуру. Слід зауважити, що для нових представлених технік надзвичайно важливо моделювати нові сценарії атак, які відповідають їм, щоб оцінити їхній охоплення щодо запобігання та виявлення.
Однак організаціям, які використовують ручне мапування з ATT&CK або напівавтоматизовані інструменти, потрібно застосовувати більш ретельний процес оновлення, як описано нижче:
1. Перерозподілити контент, пов’язаний з ухиленням від атак, що вийшов з обігу
У зв’язку з вилученням тактики Defense Evasion команди повинні переглянути всі існуючі відповідності у своїх інструментах та процесах і:
- Перепризначити техніки до категорії Stealth (TA0005) або Defense Impairment (TA0112) з урахуванням намірів зловмисника
- Виявити та перепризначити техніки, які були перенесені до інших тактик, таких як Execution, Lateral Movement або Privilege Escalation
- Оновити всю внутрішню документацію, інформаційні панелі та звіти, що містять посилання на TA0005, а також створити інформаційні панелі та документацію для TA0112.
2. Надавайте пріоритет змінам зі значним впливом (наприклад, T1562)
Особливу увагу слід приділити технікам, які були скасовані, об’єднані або перевидані, зокрема:
- T1562 (Погіршення захисту) та її підтехніки в MITREv18 були суттєво реорганізовані в T1685 (Вимкнення або модифікація інструментів).
- Будь-які виявлення, засоби контролю або сценарії тестування, пов’язані з цими ідентифікаторами, тепер потребуватимуть нових відповідників та логіки перевірки, щоб гарантувати стійкість до загроз та те, що засоби захисту не вимкнені й активно працюють.
3. Орієнтуйте перевірку на наміри, а не лише на техніку
Оновлення v19 запроваджує більш змістовне розмежування між:
- Тактика прихованості → перевірка прогалин у виявленні (чи бачите ви, як зловмисник намагається сховатися?)
- Тактика погіршення захисту → перевірка стійкості засобів контролю (чи можна вивести ваші засоби захисту з ладу, і чи можете ви виявити зловмисників, які намагаються це зробити?)
Організації повинні скористатися цією нагодою, щоб переглянути, чи зосереджені їхні програми валідації виключно на виявленні, та з’ясувати, чи перевіряють вони також стійкість і цілісність засобів безпеки під час атак
4. Впровадження нових та оновлених методів
Службам безпеки слід проаналізувати та впровадити нещодавно представлені методи (наприклад, T1685, T1687, T1684), а також переглянути такі сфери, як «Соціальна інженерія», яка тепер об’єднана в рамках тактики «Прихованість», щоб забезпечити відповідність класифікації актуальній поведінці зловмисників, а не застарілим стандартам.
Cymulate та MITRE ATT&CK v19 у дії
Cymulate повністю відповідає структурі MITRE ATT&CK завдяки своєму підходу до безперервної перевірки безпеки, який безпосередньо пов’язує симуляції атак із тактиками, техніками та підтехніками. Платформа за своєю суттю відтворює цю структуру, що дозволяє організаціям безпечно моделювати реальні дії зловмисників, перевіряти ефективність засобів контролю та оцінювати охоплення всієї матриці ATT&CK, включаючи виявлення прогалин у системах запобігання та виявлення, а також кількісну оцінку ризиків.
Cymulate дасть змогу організаціям повністю підготуватися до поділу тактики «Уникнення захисту» на тактики «Приховання» та «Погіршення захисту».
- Тактика «Приховання»: дає змогу організаціям перевіряти логіку виявлення щодо поведінки з низьким рівнем сигналів та високим рівнем контексту, наприклад маскування або зловживання легітимними інструментами.
- Тактика «Погіршення захисту»: дозволяє командам проактивно перевіряти стійкість своїх засобів контролю до таких загроз, як фальсифікація, порушення реєстрації подій та втручання EDR, щоб навести лише кілька прикладів.
Забезпечення стійкості до обох тактик має вирішальне значення, оскільки сучасні зловмисники часто поєднують їх в одній кампанії, що вимагає засобів захисту, здатних виявляти найменші відхилення, а також перевіряти цілісність і доступність систем управління.
Як у разі реструктуризації дій, що порушують захист, так і при впровадженні нових технік та підтехнік, Cymulate надає командам з безпеки можливість переоцінити свої стратегії виявлення та перевірки. Cymulate безпосередньо задовольняє цю потребу, постійно оновлюючи свою бібліотеку симуляцій відповідно до найновіших відповідників ATT&CK, що дає організаціям змогу перевіряти щойно визначені або перекласифіковані техніки одразу після їх появи. Команди з безпеки та управління ризиками мають усі необхідні засоби для швидкого впровадження змін ATT&CK, перевіряючи існуючі засоби контролю та нові механізми виявлення на відповідність тактикам зловмисників, що постійно еволюціонують, без порушення робочих процесів SOC.
Хочете дізнатися більше про інтеграцію Cymulate з ATT&CK?
Cymulate вже почала впроваджувати нову інтеграцію з MITRE у вміст та функції продукту.
Завдання Cymulate просте: забезпечити відповідність стандартам галузі щодо ATT&CK, аналітику на основі поведінки та всебічне охоплення технік. Ідучи в ногу з розвитком MITRE ATT&CK, Cymulate допомагає організаціям перетворювати оновлення цієї моделі на реальні та вимірювані покращення стійкості до загроз.
Джерело: MITRE ATT&CK v19 Unpacked: What Changed and How to Operationalize
