MITRE ATT&CK в российских реалиях: как читать матрицу атак, применять техники и выстраивать защиту

Внедрение MITRE в России нередко ограничивается формальностью: красивыми слайдами и базовым подключением к SIEM. Такой подход не дает реальной защиты — сценарии не соответствуют техникам, правила обнаружения теряют актуальность, а дефицит логов создает слепые зоны. Мы разберем, как превратить MITRE из теоретической базы в практический инструмент, адаптировать её под российские ИБ-решения и выстроить работающую систему безопасности. Системный подход к внедрению матрицы переводит безопасность и защиту информации на качественно новый уровень.

Слово MITRE всплывает всё чаще: в отчётах об атаках, документации по SIEM, презентациях ИБ-команд. Однако часто MITRE ATT&CK воспринимают как красивую таблицу без понимания, что она даёт.

Между тем, это не просто классификация, а мощный инструмент, помогающий находить уязвимости в защите и точечно усиливать наблюдаемость. Разберёмся, откуда взялась MITRE ATT&CK, в чём её суть и почему она стала стандартом де-факто для современных ИБ-команд.

MITRE — кто это и зачем придумали ATT&CK

Это американская некоммерческая организация, работающая с оборонными и гражданскими ведомствами США. Разрабатывают модели, стандарты, инструменты, базы знаний по безопасности. Среди их проектов: CVE (каталог уязвимостей), D3FEND (модель защитных техник) и ATT&CK.

MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) — база знаний, структурированная как модель поведения злоумышленников. Собрана на основе анализа тысяч киберинцидентов, отражает реальные сценарии атак.

ATT&CK описывает:

• какие цели преследует злоумышленник (тактики);
• какими способами он достигает этих целей (техники и подтехники);
• как эти действия выглядят в логах, памяти, сети и других источниках телеметрии.

Таким образом, это своего рода карта боевых действий: по ней можно увидеть, где и как атакующий может пройти, а значит, выстроить наблюдение, чтобы его поймать. В этой ситуации мониторинг сетей — это базовый инструмент для сбора данных, необходимых для фиксации конкретных техник злоумышленника.

Чем MITRE ATT&CK отличается от CVE, CAPEC и NVD

Здесь легко запутаться, особенно тем, кто начинает разбираться в MITRE с нуля. У них действительно много проектов, но каждый отвечает за свою часть:

• CVE — каталог известных уязвимостей: конкретные баги в конкретных версиях ПО.
• CAPEC — описания способов эксплуатации уязвимостей (например, SQL-инъекция).
• NVD — национальная база уязвимостей США, основанная на CVE.
• ATT&CK — поведенческая модель: о том, что делает злоумышленник, когда уже внутри сети.

ATT&CK не привязана к конкретным продуктам. Она описывает универсальные действия: получение доступа, выполнение кода, захват учётных данных, скрытие следов. База данных полезна вне зависимости от используемого софта или оборудования.

Как устроена MITRE ATT&CK

Когда впервые смотришь на матрицу, она напоминает таблицу Менделеева: сплошные аббревиатуры, коды техник, десятки колонок. Но за этим — строго структурированная картина поведения атакующего, где каждый элемент имеет своё место.

Поняв, как устроена модель, проще выстраивать защиту, искать пробелы в логировании и объяснять риски на понятном языке.

Тактики, техники, подтехники — что означают и как работают

Вся матрица построена по принципу «что делает атакующий», делится на три уровня:

1. Тактики (Tactics) — цели, которых злоумышленник хочет достичь. Например: получить доступ, закрепиться в системе, украсть данные.
2. Техники (Techniques) — способы достижения цели. Например, для получения доступа — фишинг, использование легитимных учётных записей, эксплойт уязвимостей.
3. Подтехники (Sub-techniques) — конкретизация метода. Например, фишинг может быть через вложение в письме, ссылку на вредоносный сайт или отправку через мессенджер.

Взять, к примеру, тактику Initial Access — это первая точка входа в систему. Одна из техник в рамках этой тактики — Spearphishing Attachment (T1566.001): когда злоумышленник рассылает вредоносные вложения в письмах. Если пользователь откроет файл, атакующий получает возможность выполнить код и перейти к следующей тактике, например, Execution.

Матрица MITRE показывает путь атаки от начального контакта до финальной цели — удалённый контроль, вымогательство или кража информации. Поняв ее логику, вы сможете распознать всю цепочку действий злоумышленника.

Как читать матрицу и находить нужные техники

MITRE — это база реальных приемов, которые применялись хакерскими группировками. Это не перечень уязвимостей, а карта того, как поведут себя люди, которые хотят взломать вашу сеть.

Матрица отвечает на три главных вопроса:

1. Что делает атакующий на конкретном этапе?
2. Какими приемами он пользуется?
3. Где защита должна его заметить?

Тактики (верхняя строка) — это ЦЕЛЬ. Показывает, зачем злоумышленник что-то делает прямо сейчас. Ключевые этапы:

• Initial Access — как он попал внутрь (например, через почту).
• Persistence — как закрепился в системе, чтобы его не выкинуло после перезагрузки.
• Lateral Movement — как он начал перемещаться по вашей сети от компьютера к компьютеру.
• Exfiltration — как он выносит украденные данные.

Техники (внутри столбцов) — это СПОСОБ. Ответ на вопрос «как достигается цель». Например, для кражи паролей (Credential Access) он может использовать перехват данных в браузере или кражу хэшей.

Смотрите слева направо. Читайте матрицу как сценарий фильма: «попал → запустил код → закрепился → изучил сеть → украл данные».

Не заучивайте ее, это бесполезно. Матрица нужна для анализа конкретных случаев, а не для зубрежки. Проверьте один инцидент: какие техники сработали и где ваша защита их пропустила.

Связывайте технику с мерой защиты. Например, если вы видите в матрице атаку через PowerShell, значит, вам нужен контроль скриптов и мониторинг подозрительных команд.

Чтобы понять, какие именно меры защиты нужны для каждой техники, не нужно ничего гадать — в самой матрице MITRE ATT&CK уже заложены ответы.

Вот пошаговый алгоритм, как из названия техники вытащить конкретные задачи для инженера:

Смотрите блоки «Mitigations» и «Detection»
В описании каждой техники (например, той же PowerShell — T1059.001) есть два ключевых раздела:

1. Mitigations (Нейтрализация): Это конкретные советы, как не дать технике сработать. Например: «Ограничьте использование PowerShell через Group Policy (GPO)» или «Используйте режим ограниченного языка».
2. Detection (Обнаружение): Это подсказки, как увидеть атаку, если она уже началась. Здесь будет написано: «Ищите в логах запуск процессов с флагами -EncodedCommand».

Проверьте «Data Sources» (Источники данных)
Матрица прямо говорит, какие «улики» оставляет хакер. Если для защиты от техники нужны логи сетевого трафика (Network Traffic) или история командной строки, вы сразу понимаете:

1. Нужно ли включать расширенный аудит в Windows.
2. Нужно ли настраивать глубокую инспекцию трафика на сетевом шлюзе.

Отфильтруйте по своей платформе
Если у вас нет macOS, вам не нужны техники для этой ОС. Используйте фильтры в матрице и оставьте угрозы, актуальные для вас.

База MITRE востребована в ежедневной практике: помогает строить детекты, планировать аудит, проверять зрелость защиты. Причём польза от нее есть и в SOC, у пентестеров и у аудитора, у ИБ-руководителя, который должен обосновать бюджет на наблюдаемость.

Разберём, кто и как применяет MITRE ATT&CK, какие задачи она решает, как выглядит в российских условиях.

Кто и зачем использует ATT&CK в работе

У MITRE нет «типичного пользователя». Это универсальный инструмент — кто-то проверяет логи, кто-то строит учебные кейсы, а кто-то защищает свою стратегию на ИТ-комитете:

1. SOC-аналитики используют MITRE ck для составления Use Case в SIEM: по техникам понятно, что нужно искать в логах и какие источники подключать. Это автоматизирует поиск отклонений, при которых любая подозрительная активность в системе мгновенно соотносится с конкретной техникой из матрицы.
2. Red team и пентестеры — моделировать атаки и разложить их по техникам: так проще донести до заказчика, что именно удалось пройти.
3. Blue team и инженеры ИБ — отработать инцидент или обогатить существующую карту угроз.
4. Команды СУИБ и аудиторы — оценить зрелость по техникам: видно, какие тактики покрыты, а какие остались в слепой зоне.
5. ИБ-директора — чтобы не «ходить по кругу» с отписками, а показывать реальные пробелы и точки роста.

ATT&CK позволяет говорить на одном языке. Инженер называет технику — руководитель видит, какие действия с ней связаны, какие риски возникают, чем их можно закрыть.

Как использовать ATT&CK для анализа покрытия техник (gap analysis)

Одна из самых ценных функций MITRE ATT&CK — возможность проверить, какие варианты атак в вашей организации видны, а какие — нет. Это называют gap analysis или анализом покрытия.

Пример: у нас настроен логон Windows, но нет сетевого анализа. Значит, техники вроде Command and Scripting Interpreter (T1059) могут быть частично видны, а вот Ingress Tool Transfer (T1105) — вообще нет. Если злоумышленник перебрасывает тулкит по HTTP, это пройдёт мимо SIEM.

Чтобы провести такой анализ, используют SMAP — таблицу соответствия техник и источников данных (Data Sources). В ней видно, какие события в логах помогают выявить конкретную технику. Далее сопоставляют SMAP с возможностями вашей SIEM: без глубокого мониторинга сетевого трафика компания не сможет зафиксировать большинство действий злоумышленника на этапах перемещения внутри сети (Lateral Movement) или вывода данных (Exfiltration).

Gap analysis по ATT&CK позволит:

• понять, где технический долг;
• приоритизировать подключение новых источников;
• объяснить бизнесу, зачем нужны конкретные логи.

Это не гипотеза — это карта слепых зон. Её сложно проигнорировать даже на уровне директора.

Когда использовать ATT&CK, а когда FAIR, VERIS или Cyber Kill Chain

ATT&CK — не единственная модель в инфобезопасности. Есть и другие:

1. FAIR (Factor Analysis of Information Risk) — оцифровка рисков: оценки потерь, вероятности, приоритета. Идеальна для бюджетирования и CISO.
2. VERIS (Vocabulary for Event Recording and Incident Sharing) — единая система описания инцидентов, часто применяется в аналитике и отчетности (например, Verizon DBIR).
3. Cyber Kill Chain — пошаговая модель атаки от проникновения до действия. Полезна для общего понимания фазы атаки.

ATT&CK даёт больше технической точности и гибкости, чем другие модели. Но она отлично сочетается с ними — каждая отвечает за свою грань безопасности.

Как адаптировать MITRE под российские реалии

В российской инфраструктуре платформа применима не хуже, чем на западе — нужно только учесть особенности.

Во-первых, многие используют отечественные SIEM: MaxPatrol, UserGate. У всех есть модуль кейсов или, как минимум, возможность строить корреляции. Вопрос — как правильно спроектировать правила, чтобы они попадали в MITRE.

Во-вторых, нужно ориентироваться на актуальные угрозы. Например, для России характерны:

• фишинг под госуслуги и тендерные платформы
• использование Telegram для управления и утечки
• перемещение по сети через RDP и PowerShell

Соответственно, стоит начать с таких:

• T1566 — фишинг
• 001 — RDP
• 001 — PowerShell
• T1105 — передача файлов по сети

Чтобы упростить внедрение, можно:

• взять SMAP для нужной платформы (например, Windows)
• сопоставить его с возможностями своей SIEM
• наметить минимум покрываемых техник для начала

MITRE не требует «закрыть всё». Начните с актуального, расширяя покрытие по мере роста зрелости.

Знание техник MITRE бесполезно без инструментов, способных выявлять и блокировать угрозы. Чтобы научиться применять эти знания на практике и грамотно конфигурировать средства защиты, пройдите наше бесплатное обучение:

Как разобрать атаку по техникам MITRE ATT&CK

Пока одни продолжают рассматривать матрицу MITRE как справочник, другие давно используют её как инструмент расследования. В ней можно отразить весь путь злоумышленника: от первого доступа до удаления следов и шифрования.

Такой разбор помогает увидеть, на каком этапе атака могла быть замечена, а где защита дала сбой. Ниже — два типичных сценария из российской практики, разложенных по техникам ATT&CK.

Пример 1: атака с вымогателем (LockBit)

Атаки с шифровальщиками — не экзотика, а будни для компаний всех масштабов. Возьмём обобщённый сценарий атаки, характерный для группировки LockBit, и посмотрим, как он выглядит через матрицу MITRE.

1.  Initial Access
   Злоумышленник отправляет фишинговое письмо с вредоносным вложением — например, Word-документ с макросом.
   Техника: T1566.001 Spearphishing Attachment
2.  Execution
   Пользователь запускает вложение. Макрос вызывает PowerShell-скрипт, который загружает загрузчик.
   Техника: T1059.001 PowerShell, T1203 Exploitation for Client Execution
3. Persistence
   Создаётся задача в планировщике, чтобы при перезапуске система подгружала вредонос.
   Техника: T1053.005 Scheduled Task
4. Privilege Escalation
   Эксплуатируется уязвимость в драйвере или используется BYOVD (Bring Your Own Vulnerable Driver) для получения системных прав.
   Техника: T1068 Exploitation for Privilege Escalation
5. Defense Evasion
   Удаляются логи, отключаются средства защиты, применяются техники DLL-смикшивания.
   Техника: T1070.004 File Deletion, T1036.005 Masquerading
6. Discovery
   Происходит сканирование сети на предмет файловых хранилищ и резервных копий.
   Техника: T1046 Network Service Scanning, T1083 File and Directory Discovery
7. Lateral Movement
   Вредонос перемещается через RDP и SMB, используя украденные учётные данные.
   Техника: T1021.001 Remote Desktop Protocol
8. Impact
   Шифруются файлы и выводится требование об оплате. Часто — с выводом HTML-файла с контактами.
   Техника: T1486 Data Encrypted for Impact

Если по этим техникам не построены правила в SIEM или отсутствуют логи (например, нет сетевой телеметрии) — атака проходит тихо и быстро. Разложив сценарий по MITRE ATT&CK, видно, где можно было бы её остановить и что именно не сработало.

Пример 2: утечка через Telegram-бота

Этот кейс особенно актуален для России: злоумышленники или недобросовестные сотрудники используют Telegram как тихий канал утечки. Ниже — пример, как выглядит такой сценарий в матрице MITRE:

1. Initial Access
   Сотрудник скачивает «удобную утилиту» для автоматизации или доступа к базе. На деле — троян.
   Техника: T1204.002 Malicious File
2. Execution
   Программа запускается — скрытно или с пользовательским интерфейсом.
   Техника: T1059 Command and Scripting Interpreter, T1047 WMI
3. Credential Access
   Троян собирает учётные данные из браузеров, файлов или Windows Credential Manager.
   Техника: T1555 Credentials from Password Stores
4. Collection
   Собираются документы, SQL-дампы, скриншоты, записываются на диск в виде архива.
   Техника: T1119 Automated Collection, T1113 Screen Capture
5. Exfiltration
   Архив отправляется через Telegram Bot API или Telegram CLI.
   Техника: T1041 Exfiltration Over C2 Channel, T1567.002 Exfiltration to Cloud Storage
6. Defense Evasion
   Логи удаляются, процессы переименовываются, подключение маскируется под обычный web-трафик.
   Техника: T1036.003 Rename System Utilities, T1070.001 Clear Application Logs

Такие утечки часто происходят месяцами — незаметно для администраторов. У многих организаций нет фильтрации Telegram-трафика, а значит, техника T1567.002 вообще не детектируется. Разбор атаки через MITRE ATT&CK помогает выявить точки риска и понять, где можно было бы остановить злоумышленника.

Говорить с бизнесом о киберугрозах сложно: всё, что не влияет на деньги, звучит абстрактно. Фразы вроде «нас могут взломать» давно не впечатляют — слишком общее и слишком часто.

Матрица MITRE помогает перевести технические риски в язык, понятный руководству: что именно случиться, с какими последствиями, какие меры нужны. Покажем два способа применения MITRE в разговоре с управленцами и на уровне систем построения защиты.

Как донести риски до руководства

Любая модель угроз, построенная на основе MITRE ATT&CK, — это конкретный сценарий. В нем видно, как злоумышленник может пройти по инфраструктуре, какие техники применит и на каком этапе его можно остановить.

Такой подход поможет:

• показать уязвимые точки не абстрактно, а по факту (например, «нет логов сетевого трафика — не видим T1105»);
• объяснить риски: не «у нас могут украсть данные», а «у нас нет защиты от конкретной техники Exfiltration Over Web Service»;
• связать технику атаки с затратами: сколько будет стоить внедрение детекта против T1059 (PowerShell), просчитать последствия, если он останется без прикрытия.

Когда на совещании появляется карта, где красным отмечены зоны риска, разговор становится предметным. Руководители понимают, где нужно вложиться, а где уже хорошо. Особенно если матрица MITRE встроена в отчётность или дашборд как визуализация покрытия. Наглядные отчеты по матрице включают в общие документы по информационной безопасности, чтобы подтвердить соответствие компании установленным требованиям и стандартам.

Как использовать ATT&CK, чтобы обосновать бюджеты и ресурсы

Когда вместо общих фраз на стол ложится карта техник, уязвимостей и текущих дыр, разговор с бизнесом становится предметным. ATT&CK помогает показать, на какие угрозы мы не реагируем, какие этапы атаки остаются незакрытыми и где критически не хватает логов, людей или технологий. «Хотелки» ИБ превращаются в понятный список задач с приоритетами и рисками.

Связь с нормативкой вполне прямая:

• ISO/IEC 27001 требует учитывать угрозы, риски и принимать меры. ATT&CK — идеальный инструмент для построения модели угроз и сценарного анализа.
• Приказ ФСТЭК № 239 (по КИИ) требует моделировать угрозы, учитывать векторы атак, выстраивать систему защиты на основе актуальной картины. Использование MITRE ATT&CK закрывает нормативные требования информационной безопасности в части сценарного анализа и моделирования угроз.
• Банк данных угроз ФСТЭК содержит общие формулировки, но их можно переложить на техники MITRE: так проще сопоставлять угрозы с действиями злоумышленника.

Кроме того, при внешнем аудите проверяющие всё чаще спрашивают, на какие техники ориентированы меры защиты, какое покрытие реализовано.

Если выстроить карту ATT&CK для своей инфраструктуры, то:

• видно, какие угрозы реально актуальны
• можно сопоставить меры и техники
• проще доказать, что модель угроз не «на бумаге», а отражает реальность

ATT&CK — не замена нормативам, а связующее звено между стандартами, угрозами и практической безопасностью. Именно это делает её удобной и для инженеров, и для управленцев.

Что такое MITRE D3FEND, как он дополняет ATT&CK

MITRE ATT&CK показывает, как атакует противник, но на многие вопросы безопасников она не отвечает. Например: какие конкретные действия помогут остановить T1059. Какие меры сработают против утечки через Telegram. Где точка реагирования, а где — упреждение.

Чтобы закрыть этот разрыв между знанием и действием, MITRE разработали вторую модель — D3FEND. Она дополняет MITRE и помогает перевести тактики атакующих в конкретные защитные практики.

D3FEND — это про защиту

Если ATT&CK отвечает на вопрос «что делает злоумышленник?», то MITRE D3FEND — «что мы можем сделать?». Это тоже формализованная модель, но вся она построена вокруг защитных техник: логирования, анализа, фильтрации, сокрытия, очистки.

Вместо тактик атаки в D3FEND есть категории защитных действий:

• Harden — как усложнить компрометацию
• Detect — как заметить активность
• Isolate — как ограничить распространение
• Deceive — как запутать атакующего
• Evict — как удалить вредонос
• Analyze — как обрабатывать сигналы и события

Каждая защитная техника D3FEND связана с техникой из MITRE ATT&CK. Например:

• Атакующая001 PowerShell → защитная: Script Execution Analysis.
• 001 Remote Desktop Protocol → защитная: Remote Session Inspection.
• 002 Exfiltration to Cloud Storage → защитная: Cloud Access Monitoring.

Эта связка ATT&CK ↔ D3FEND особенно полезна в трёх случаях:

1. Когда нужно быстро найти точку контроля — что можно сделать против конкретной техники?
2. При построении карты защиты — какие техники уже прикрыты, а где пока только гипотеза?
3. При внедрении SIEM, NDR или EDR — какие источники событий и методы анализа нужны, чтобы видеть атаку в моменте?

D3FEND не требует лицензий и интеграций. Она открыта, логична и хорошо документирована. Подход работает: вариант атаки — мера противодействия — источник телеметрии — правило детекта. Помогает перейти от теории к практике, повышать зрелость СУИБ не на глазок, а с пониманием, что и зачем мы делаем.

Какие бывают матрицы MITRE, чем они различаются

Когда говорят «матрица MITRE », чаще всего имеют в виду Enterprise ATT&CK — она действительно самая популярная. Но MITRE развивает сразу несколько матриц: под десктопы, мобильные устройства, промышленные сети и даже под подготовительные стадии атак.

У каждой своя логика, глубина, сфера применения. Знание различий между ними помогает точнее выбирать инструменты, расставлять приоритеты, не тратить ресурсы на неактуальные техники.

Enterprise, Mobile, ICS — разные среды, разные техники

Enterprise ATT&CK — основная и самая развитая матрица. Охватывает атаки на рабочие станции, серверы, облака, Active Directory, другие элементы корпоративной ИТ-среды. Именно она чаще всего используется в SIEM, threat hunting, SOC-операциях.

Mobile ATT&CK — отдельная матрица для iOS и Android. Содержит техники, связанные с вредоносными приложениями, эскалацией привилегий на смартфоне, слежением, сбросом ограничений. Подходит для компаний, активно использующих BYOD или выдающих корпоративные устройства.

ICS ATT&CK — промышленная матрица, адаптированная под SCADA, ПЛК, RTU, другие компоненты АСУ ТП. В ней меньше техник, но выше цена каждой ошибки. Используется в энергетике, транспорте, промышленности, на объектах КИИ.

Разделение по матрицам — не формальность. Техника, актуальная для ICS (например, манипуляция с контроллером), будет абсолютно нерелевантна в Enterprise-среде. И наоборот — PowerShell, WMI и фишинг в мобильной матрице неприменимы.

Прежде чем строить сценарии по MITRE ATT&CK, важно понимать, в какой инфраструктуре вы работаете, какую матрицу берёте за основу.

PRE-ATT&CK — подготовка к атаке, а не сама атака

Есть ещё одна модель от MITRE — PRE-ATT&CK. Она описывает не действия внутри сети, а подготовительные шаги: разведку, подбор целей, создание инфраструктуры, распространение фишинга. То, что происходит до появления зловреда в логах.

Почему эта часть важна?

• Во многих атаках фаза подготовки — самая длинная. Она оставляет следы: домены, письма, общедоступные ресурсы.
• Знание PRE-ATT&CK помогает выстроить превентивную защиту ещё до инцидента.
• Для threat intelligence и анализа APT-групп эта модель незаменима: показывает, как злоумышленник ищет жертву, как готовит удар.

PRE-ATT&CK охватывает такие техники:

• сбор информации о сотрудниках: OSINT
• определение используемого ПО
• регистрация доменов, похожих на корпоративные
• подготовка фишинговых материалов

Эту матрицу часто игнорируют потому, что она не входит в основные инструменты SIEM. Но в руках аналитика она превращается в ценный источник гипотез: если видим признаки подготовки, можем предупредить саму атаку.

Когда работаешь с MITRE вручную, она кажется удобной, пока не надо актуализировать кейсы, проверять на устаревание или построить десяток дашбордов. Без автоматизации даже хорошо выстроенная модель быстро теряет актуальность.

К счастью, ATT&CK открыт: у него есть API, интеграции с популярными платформами и готовые инструменты для визуализации. Узнайте ниже как подключить MITRE к живому процессу, а не просто «держать в ссылках».

API MITRE ATT&CK — как получать актуальные данные

Модель ведёт официальный REST API с полной базой техник, подтехник, тактик, связей, групп и инструментов. Он доступен по адресу: https://api.attack.MITRE.org

Через него можно:

• регулярно подгружать список техник и их описания
• отслеживать изменения: удаление, переименование, добавление
• строить собственные приложения и внутренние дашборды

Например, можно написать скрипт, который каждую неделю проверяет, не появилась ли новая техника или подтехника, и сразу уведомляет аналитика. Или подгружает описание и связи в CMDB, SOC-платформу, систему обучения.

Данные приходят в формате STIX 2.1, их легко интегрировать с другими системами, поддерживающими этот стандарт.

Интеграция с MISP, STIX/TAXII и SOAR

ATT&CK активно встраивают в платформы для обмена данными об угрозах и автоматизации реагирования. Вот несколько типичных примеров:

• MISP: можно привязать технику MITRE к IoC, TTP, кампании или APT-группе. Даёт структурированный контекст при обмене информацией между командами.
• STIX/TAXII: ATT&CK поддерживает STIX 2.1. Упрощает интеграцию с системами обмена угрозами. Через TAXII можно передавать актуальные техники прямо в SIEM или аналитическую платформу.
• SOAR-платформы: playbook-и можно выстраивать вокруг техник ATT&CK — например, реакция на попытку T1566 (фишинг) запускает проверку вложений, блокировку URL и уведомление DLP-команды.

При такой интеграции матрица MITRE из теории превращается в рабочий элемент цепочки реагирования: техника → сценарий → автоматизированное действие.

Дашборды, визуализация, отчёты

Если MITRE не визуализировать — её сложно «продать» внутри компании. Ни CISO, ни аудитору, ни инженеру не захочется разбираться в сотнях способов, если нет наглядной картины. Здесь помогут готовые инструменты:

1. MITRE Navigator — бесплатный веб-инструмент для создания собственных слоёв (layer) на основе матрицы. Можно отмечать техники, менять цвета, экспортировать в PDF/PNG.
2. ATT&CK Workbench — приложение от MITRE , которое разворачивается локально и позволяет вести кастомные версии матрицы. Полезно, если нужно отразить локальные особенности, специфичные угрозы или внутренние кейсы.
3. Power BI, Grafana, Kibana — через API или выгрузку JSON можно собрать визуализации: покрытие техник, угрозы по отделам, зрелость по направлениям.
4. Отчётность в SIEM: например, в MaxPatrol можно построить отображение кейсов по тактикам ATT&CK и связать это с триггерами.

Визуализации помогают не только в работе, но и при защите бюджета: видно, где покрытие слабое, что изменилось за квартал, какие техники остались без контроля.

Типовые ошибки при внедрении MITRE ATT&CK

Платформа MITRE — мощный инструмент, но он работает только тогда, когда внедрён с пониманием. В противном случае превращается в формальность: матрицу добавили в отчёт, но на практике она не помогает, а мешает.

Ниже — три самых частых провала в проектах с MITRE: избыточность, отсутствие приоритизации и нехватка ресурсов. Эти ошибки встречаются и в крупных компаниях, и в небольших ИТ‑отделах.

Слишком много техник — не значит эффективно

Первая ошибка — стремление покрыть как можно больше техник. В дашборде это смотрится внушительно: десятки правил, красочная раскраска по ATT&CK. Но когда в SIEM начинают сыпаться срабатывания по 50 техникам в сутки, команда реагирования просто захлёбывается.

ATT&CK — не чеклист. Ценность не в том, чтобы закрыть все T1XXX, а в том, чтобы контролировать актуальные для вашей инфраструктуры векторы. Избыточное покрытие:

• перегружает аналитиков ложными срабатываниями
• делает невозможным отладку правил
• мешает увидеть действительно важные сигналы

С матрицей MITRE&CK надо работать как с инструментом хирургии, а не строительной пеной: точно, дозированно, по задаче.

Нет приоритизации — нет пользы

Вторая ошибка — работать с базой «по порядку», без анализа того, что реально угрожает компании. В результате настраивают детекты на техники, которые не встречаются, пропуская те, которые каждый квартал фигурируют в инцидентах.

Как выделить приоритетные:

• посмотреть на модель угроз вашей отрасли или объекта КИИ
• проанализировать последние инциденты (внутренние и по отчётам PT, BI.ZONE, Solar, Group-IB)
• учитывать ограничения по логам: если у вас нет сетевой телеметрии — бессмысленно гнаться за техниками из категории Exfiltration over Network

Умное внедрение начинается не со списка способов атак, а с ответов на вопросы: кто нас атакует, как это делается, что мы уже видим, где слепо. После этого уже можно брать матрицу MITRE и строить карту покрытия.

Нехватка ресурсов — главная причина провалов

Третья ошибка — забывать, что ATT&CK требует не только модели, но и людей, процессы, логи. Даже если вы выписали все техники, создали десятки кейсов, они не заработают, если:

• не подключены нужные источники (аудит, сеть, EDR, прокси)
• нет навыков написания и отладки правил
• никто не реагирует на срабатывания
• матрица не обновляется и не адаптируется.

ATT&CK хороша, когда работает как система. Если её внедрили «для галочки», она не поможет — даже наоборот: создаст иллюзию контроля и отвлечёт ресурсы от настоящих задач.

Совет: начните с малого, но применимого: две техники, три кейса, один чёткий процесс. Затем расширяйтесь. MITRE не ждёт от вас энциклопедического охвата — она ждёт точной работы.

Как участвовать в развитии MITRE

MITRE ATT&CK не стоит на месте. Матрица обновляется несколько раз в год: появляются новые техники, уточняются связи, уходят устаревшие элементы. Всё это делают не «в штабе MITRE », а вместе с аналитиками, инженерами, исследователями.

Если в вашей компании заметили новую технику, нестандартное применение существующей или нашли ошибку в описании — вы можете отправить это авторам и попасть в changelog.

Как внести вклад через GitHub и pull requests

Проект ATT&CK открыт: его основная база — это репозиторий на GitHub.

В нём хранятся все тактики, техники, подтехники, группы, инструменты, отношения между ними в формате STIX 2.1 (JSON).

Если вы хотите внести изменения, можно:

• открыть Issue — например, если обнаружили несоответствие, неактуальную информацию или баг в связях
• создать pull request с предложением новой техники, корректировкой описания или добавлением ссылки на публичный отчёт

К каждой правке есть требования:

• описание должно быть обосновано
• источники — желательно открытые (например, отчёт от Solar или PT)
• формат — валидный STIX.

После проверки команда MITRE принимает или отклоняет предложение. Принятые правки попадают в changelog — с указанием автора или организации. Это реальная возможность участвовать в развитии MITRE ATT&CK, если у вас есть качественный ресёрч.

Сообщество ATT&CK и рабочие группы

Около MITRE ATT&CK давно сформировалось профессиональное сообщество. Оно объединяет тех, кто работает с матрицей ежедневно: строит кейсы, ведёт расследования, занимается threat intelligence.

Вот где искать точки входа:

• ATT&CKcon — ежегодная конференция, где MITRE и партнёры делятся кейсами, обсуждают обновления, показывают практику.
• Threat-Informed Defense — отдельная инициатива MITRE Engenuity, где вместе с коммерческими компаниями развиваются инструменты на базе ATT&CK (например, ATT&CK Evaluations, ATT&CK Workbench).

Если у вас есть кейсы, интересные находки или идеи в этих сообществах им точно найдётся место. MITRE CK — живая база знаний, развивается вместе с индустрией.

Полезные инструменты для работы с MITRE

Даже самая логичная модель не работает без инструментов. К счастью, у MITRE ATT&CK всё с этим в порядке: есть официальные платформы, утилиты от партнёров, качественные материалы на русском. Предлагаем подборку полезных ресурсов: от построения кейсов до автоматизации и обучения команды.

Официальный сайт проекта MITRE ATT&CK. Здесь доступна вся матрица, фильтры по платформам, техникам, группам, отношениям, инструментариям. Можно посмотреть примеры, сценарии и источники. Это основной источник правды для всех, кто работает с матрицей MITRE.

MITRE Navigator

Инструмент для визуальной работы с матрицей. Позволяет строить собственные «слои»: подсвечивать техники, отмечать покрытие, сохранять и экспортировать результат. Используется для презентаций, аудита и коммуникации с руководством. Доступен онлайн или локально.

Atomic Red Team

Открытый проект с «атомарными» тестами для большинства техник MITRE ATT&CK. Позволяет безопасно воспроизвести действия злоумышленника и проверить, как реагирует система мониторинга. Отличный инструмент для SOC, Red Team и тестирования кейсов.

MITRE Caldera

Платформа для автоматизированного моделирования атак. Позволяет имитировать поведение APT-групп и конкретных техник ATT&CK в инфраструктуре. Полезна для учений, проверки зрелости и тренировки команды.

Переводы матрицы на русский язык

Официального перевода нет, но адаптированные версии регулярно публикуются:

• Solar Security: в блоге и презентациях
• ZONE: в материалах threat intelligence
• R‑Vision и PT Expert: в вебинарах и документации к продуктам
• Также доступны инициативные переводы на GitHub — ищите по ключу «MITRE ATT&CK русский» и проверяйте актуальность версии.

Если планируете использовать MITRE attack в обучении или нормативной документации, лучше делать собственную адаптацию под терминологию организации.

Где читать: блоги и аналитика

Вот несколько источников, где регулярно публикуются практические материалы по MITRE ATT&CK:

• Solar — прикладные кейсы, визуализации, разборы техник
• ZONE — отчёты с маппингом APT-групп на ATT&CK
• Positive Technologies — публикации о тестировании систем защиты через способы ATT&CK
• Сбер — в блоге и методичках по киберустойчивости

Эти ресурсы позволяют держать руку на пульсе, видеть, как модель применяется в российских реалиях, какие подходы дают результат.

Главное

MITRE ATT&CK — это модель поведения атакующих.
Основана на реальных инцидентах, показывает, как злоумышленники действуют внутри инфраструктуры. Зная вариант атаки, проще выстроить защиту.

Матрица устроена логично: тактики — это цели, техники — способы, подтехники — детализация. Такой формат помогает разложить любую атаку по этапам и понять, на каком шаге можно было её остановить. Платформа MITRE удобна для анализа, обучения, моделирования, аудита.

ATT&CK используют все: SOC, Red/Blue команды, аудиторы, CISO. У каждого — свой сценарий. Для SOC — это каркас кейсов. Для пентестеров — карта атаки. Для руководства — язык аргументов. ATT&CK помогает говорить об ИБ конкретно, без «возможно» и «где-то».

Модель полезна, только если учитывать контекст: актуальные угрозы, доступные логи, зрелость команды.Попытка охватить все техники сразу — путь в никуда. Нужно начинать с приоритетов: где уже были атаки, что видно в логах, что можно детектировать. И идти по техникам — не по порядку, а по смыслу.

ATT&CK работает и в российских условиях. MaxPatrol, UserGate позволяют выстраивать кейсы по техникам MITRE. А если добавить threat intelligence и SMAP-таблицы, то получается вполне рабочий detection roadmap.

Связка ATT&CK ↔ D3FEND помогает не только видеть атаку, но и строить защиту.
D3FEND сможет ответить на вопрос: что делать дальше, если техника известна? Где-то это логирование, где-то — фильтрация трафика, где-то — поведенческий анализ. Вместе они дают полный круг: угроза → наблюдение → мера.

Автоматизация важна: API, интеграции, визуализация делают ATT&CK живой.
Без обновлений и дашбордов матрица быстро устаревает. Если подключить автоматическую подгрузку техник, интегрировать с MISP, построить отчёты — ATT&CK станет не отчётом, а рабочим инструментом.

Типовые ошибки — избыточность, отсутствие приоритезации и нехватка ресурсов.
ATT&CK требует логов, людей, внимания и здравого смысла. Начни с малого, проверь, что работает, расширяйся поэтапно.

MITRE открыт для практиков. Можно отправлять pull request на GitHub, участвовать в обсуждениях, делиться кейсами. Это открытая рабочая модель.

Инструментов много, использовать MITRE можно уже сейчас. Navigator, Atomic Red Team, Caldera, Workbench, переводы, блоги Solar и BI.ZONE — бери и применяй.

Матрица MITRE дает карту атак, а UserGate — реальные механизмы обороны. Освойте навыки настройки отечественного решения для защиты периметра и глубокого анализа трафика на специализированном бесплатном курсе: