Ежедневно злоумышленники по всему миру создают ПО которой наносит значительный, а порой и огромный вред для общества. Методы борьбы признано делить на несколько категорий: превентивные меры — повышение образования разработчиков и пользователей в области безопасного применения программирования, защиты от фишинга, социальных технологий и других уязвимостей; реактивные меры (обнаружение и реагирование на угрозу); а также правоохранительные меры. Важно отметить, что борьба с создателями конкурентного ПО непрерывная гонка вооружений. Злоумышленники постоянно разрабатывают новые методы нападения, а разработчики средств защиты должны постоянно адаптироваться и совершенствовать свои методы. Эффективная борьба требует комплексного обсуждения, объединения усилий разработчиков, производителей антивирусного ПО, соответствующих органов и пользователей.
Одним из наиболее серьёзных инструментов борьбы с вредоносными ПО сегодня становятся средства защиты класса EDR, которые обнаруживают атаки с помощью корреляционного механизма. Данные механизмы записаны с учётом метрик, заложенных в матрицы MITRE ATT&CK.
MITRE ATT&CK (тактика, техника и общие знания противника) постоянно обновляемая коллекция знаний о тактиках, техниках и процедурах (TTP), применении злоумышленниками при кибератаках. Она представляет собой структурированную базу данных, позволяющую организациям лучше понимать, как работают злоумышленники, и совершенствовать свою защиту.
К ключевым аспектам относят, тактики (получение доступа, сохранение доступа, присвоение привилегий, эксфильтрация данных и т. д.), техники («Фишинг», «Эксплойт уязвимости», «Брутфорс»), а также процедуры, но этот уровень детализации менее распространен, чем тактика и техника.
«MITRE ATT&CK организована в виде матрицы, где тактики представлены в строках, а техника — в столбцах. Каждая ячейка матрицы может сохранять одну или несколько техник, связанных с конкретной тактикой. Матрица разделена на несколько платформеров, в зависимости от среды (например, Enterprise, Mobile, ICS). Преимуществами для использования данного инструмента является общий язык, оценка риска, разработка стратегии защиты, обнаружение угроз, оценка эффективности защиты и обучение персонала.
В целом, MITRE ATT&CK это ценный инструмент для организаций, стремящихся повысить свою кибербезопасность. Он обеспечивает структурированный и постоянно обновляемый обзор ландшафтных угроз, помогая специалистам в области безопасности лучше защитить свои системы и данные», — комментирует эксперт Ставропольского филиала Президентской академии Александр Калашников.