От техник и тактик угроз к мерам обнаружения и защиты. Как сопоставить первое со вторым?

10.06.2021 Лукацкий Алексей , Бизнес-консультант по безопасности

Читая методику оценки угроз ФСТЭК, собственно как и матрицу MITRE ATT&CK, понимаешь, что делается это все не просто так, а для какой-то цели (вот новость-то). И целью этой является выработка защитных мер, которые позволят нам противодейстовать выбранным нами как актуальными техникам и тактикам нарушителей. Еще во время появления первых документов ФСТЭК в 2013-м году многие эксперты задавались вопросом, а как увязать защитные меры с моделью угроз. У ФСТЭК пока нет ответа на этот вопрос, а вот у MITRE есть. Ему я и посвящу данную заметку.

В фреймворк MITRE ATT&CK помимо техник и тактик входит еще один блок - защитных мер (mitigations), которые увязаны с блокируемыми ими техниками и тактиками.

Таким образом, выбрав актуальные для вас техники и тактики, можно перейти к мерам, которые позволяют их нейтрализовать. На текущий момент фреймворк MITRE ATT&CK содержит 42 защитные меры (для мобильных устройств еще 13 защитных мер), среди которых шифрование важных данных, антивирус, контроль сетевого доступа, управление привилегированными учетными записями, обновление ПО, программа Threat Intelligence и т.п. Среди 42-х мер (вот он ответ на главный вопрос жизни, вселенной и всего такого) есть и такая "не надо блокировать", в описании которой сказано, что реализация защитной меры может повлечь рост риска компрометации: а значит нейтрализация не рекомендуется (сейчас техник, для которых эта рекомендация дана, всего две).
Для многих техник и тактик в матрице указаны не только защитные меры, но и источники данных, которые позволяют их детектировать с помощью различных технологий - от XDR и SIEM до антивирусов и средств контроля целостности файлов и ПО.

В итоге, если объединить блок защитных мер с блоком источников данных мы получим возможность бороться со всеми почти 400 техниками, которые описаны в текущей версии MITRE ATT&CK. Этого тоже пока не хватает подходу ФСТЭК, у которого из всего "фреймворка" есть пока только перечень техник и тактик. Поэтому-то я и ратую за то, чтобы ФСТЭК прекратила заниматься самодеятельностью и унифицировала нумерацию своих техник и тактик с тем, что есть у MITRE. В этом случае даже при отсутствии времени и ресурсов на разработку полного собственного фреймворка можно было бы использовать уже имеющиеся наработки от MITRE.  

Самое интересное, что 42 защитные меры от MITRE ATT&CK могут быть смаппированы в различные иные защитные фреймворки - ISO 27001/27002, NIST CSF и CIS Controls. Например, вот так этом может выглядеть для последнего фреймворка.  

В защитные меры из приказов ФСТЭК тоже можно смаппировать, но про это в другой раз.