Забудьте на хвилину про IP-адреси та хеші шкідливих файлів. Вони зараз майже нічого не варті. Хакер змінює їх за секунди за допомогою автоматизованих скриптів. Колись індустрія кібербезпеки свято вірила, що чорні списки доменів та антивірусні бази врятують світ, але сьогодні це викликає лише сумну посмішку в будь-якого інженера з реагування на інциденти. MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) дивиться на проблему під зовсім іншим кутом - фокусуючись на тому, як зловмисники мислять, які алгоритми використовують і які неминучі сліди залишають глибоко всередині операційної системи.
Це не просто черговий нудний список вразливостей чи сухий стандарт ISO. Це величезна, місцями трохи хаотична, але абсолютно жива база знань, яка оновлюється щодня. Вона перетворює терабайти незрозумілої, "сирої" мережевої телеметрії на чіткий, зрозумілий граф поведінки. По суті, ATT&CK - це переклад з хакерської мови на інженерну.
Як і навіщо це взагалі з'явилося? Історія одного відчаю
Усе почалося у 2013 році. Дослідники з некомерційної корпорації MITRE, яка тісно співпрацює з американським урядом, просто втомилися від "паперової" безпеки. Їхній внутрішній експеримент під кодовою назвою FMX (Fort Meade Experiment) народився з відчаю. Класичний захист периметра - фаєрволи, IDS/IPS системи, перші покоління антивірусів - вже тоді працював жахливо проти цілеспрямованих атак (APT). Тож вони ухвалили радикальне рішення: перестали молитися на товсті стіни периметра і почали імітувати реальні, жорсткі атаки на власні дослідницькі мережі, скрупульозно записуючи все, що відбувалося після прориву.
Вони ставили собі незручні запитання. Що саме змінилося в реєстрі Windows після того, як фішинговий макрос відпрацював? Який неочевидний процес раптом запустився в пам'яті сервера бази даних? Як саме нападник витягнув паролі з пам'яті локального адміністратора? Це був абсолютно емпіричний підхід. Ніяких теоретичних вигадок про "можливі вектори". До першої версії бази потрапляло лише те, що реально використовувалося в бойових умовах і залишало логічні артефакти.
"Піраміда болю" та місце ATT&CK у ній
Можливо, ви чули про "Піраміду болю", яку свого часу намалював Девід Б'янко. Назва звучить трохи драматично, але технічна суть там дуже точна. Блокувати хеші файлів, домени чи IP-адреси - це найнижчий, базовий рівень піраміди. Хакеру це взагалі не болить. Він купує новий віртуальний сервер за п'ять доларів, перекомпілює свій вірус (змінюючи його хеш) і продовжує атаку через десять хвилин.
А от змусити нападника змінити свої звички, переписати складний експлойт, повністю відмовитися від улюблених інструментів типу Cobalt Strike чи BloodHound - це вже серйозний удар по його бюджету та таймінгам. Операція стає нерентабельною.
MITRE ATT&CK б'є саме в цю точку. Це вершина піраміди - так звані TTPs (тактики, техніки, процедури). Уявіть, що ви навчили вашу SIEM-систему надійно виявляти процес дампінгу пам'яті системного процесу LSASS у Windows (саме там лежать хеші паролів користувачів). Все. Вам абсолютно байдуже, яку кастомну утиліту, який скрипт чи яку нову версію Mimikatz використав нападник. Утиліт можуть бути тисячі, а механіка крадіжки пам'яті - одна. Патерн поведінки виявлено - атаку зупинено.
Анатомія матриці: з чого зібраний цей монстр
На перший погляд актуальна матриця виглядає як величезна таблиця Менделєєва для параноїків. Сотні клітинок, складні ідентифікатори, нескінченні перехресні посилання. Але під капотом там залізна логіка. Тримається вся ця конструкція на чотирьох фундаментальних китах.
Тактики: відповідь на запитання "Навіщо?"
Тактики - це вертикальні колонки матриці. Їх зараз 14 в базовій Enterprise-версії. Вони описують глобальну мету хакера на певному етапі. Життєвий цикл атаки розкладено на атоми. Спочатку йде Reconnaissance (Розвідка) та Resource Development (Підготовка ресурсів) - це етапи, коли вас тільки вивчають. Шукають відкриті порти, купують схожі домени для фішингу.
Потім наступає Initial Access (Початковий доступ) - момент прориву. За ним слідує Execution (Виконання) шкідливого коду. Але хакеру мало просто запустити код, йому треба вижити після перезавантаження комп'ютера, тому вмикається тактика Persistence (Закріплення). Далі йдуть підвищення привілеїв, ухилення від захисту, крадіжка облікових даних, рух по мережі (Lateral Movement) і, зрештою, Impact (Вплив) - наприклад, шифрування всіх дисків за допомогою Ransomware.
Техніки та субтехніки: відповідь на запитання "Як саме?"
Якщо тактика - це мета, то техніка - це інструмент. Їх сотні. Візьмемо для прикладу тактику "Закріплення". Як хакер може вижити в системі? Він може створити прихований запис у реєстрі (Техніка T1547). Він може додати скрипт у папку автозавантаження. Він може створити фіктивний системний сервіс Windows.
Завдяки масштабному рефакторингу 2020 року розробники додали субтехніки, щоб трохи зменшити інформаційний хаос. Раніше була просто величезна техніка "Фішинг". Тепер вона чітко ділиться: субтехніка T1566.001 - це фішинг із прикріпленим файлом (наприклад, зараженим Excel-документом з макросами), а T1566.002 - це фішинг із посиланням на фейковий сайт авторизації. Для інженера SOC (Security Operations Center) це колосальна різниця, адже писати правила виявлення для цих двох випадків доведеться в абсолютно різних системах - антивірусі та поштовому шлюзі відповідно.
Процедури: хто, чим і як працював
Процедури - це чиста специфіка з реального світу. Це історії конкретних зломів. Наприклад, угруповання APT29 (яке пов'язують з російською розвідкою), як відомо, обожнює використовувати PowerShell для прихованого завантаження своїх "маячків" (beacons). Але ж і ваші сисадміни його постійно використовують, правда? PowerShell - це легітимний інструмент адміністрування.
Ось тут аналітикам доводиться шукати мікро-аномалії, спираючись на процедури MITRE. Вони шукають не просто факт запуску powershell.exe. Вони шукають специфічні прапорці: -nop -w hidden -EncodedCommand. Саме така комбінація (запуск без профілю користувача, у прихованому вікні, з базою коду, зашифрованою в Base64) кричить про те, що систему щойно зламали. Процедури дають нам цей безцінний контекст.
Джерела даних (Data Sources): немає логів - немає детекту
Це, мабуть, найважливіший і найбільш ігнорований компонент фреймворку. MITRE чітко каже: ви не можете виявити техніку, якщо не збираєте відповідну телеметрію. Багато компаній купують дорогі SIEM-системи, дивляться на матрицю і думають, що захищені. Але якщо на кінцевих точках не налаштовано розширений аудит, ви сліпі.
Хочете ловити створення шкідливих процесів? Вам потрібен Windows Event ID 4688 (Process Creation) із включеним логуванням командного рядка. Бажаєте бачити, як хакерський інструмент колупається в пам'яті іншої програми (Process Injection)? Без встановленого Microsoft Sysmon та аналізу Event ID 10 (Process Access) ви цього ніколи не побачите. Джерела даних - це той самий клей, який поєднує високу теорію з жорсткою практикою системного адміністрування.
Не тільки Windows: як фреймворк покриває інші домени
Світ трохи ширший за корпоративні мережі на базі Active Directory. Тож з часом фреймворк закономірно розпався на кілька спеціалізованих гілок, адже зламати iPhone - це зовсім не те саме, що зламати сервер на Linux.
Enterprise: Хмари та Контейнери
Enterprise-матриця - найстаріша і найбільша. Але найцікавіше зараз відбувається не в сегменті десктопних ОС, а в хмарному сегменті (AWS, Azure, Google Cloud) та контейнерах (Docker, Kubernetes). Злам хмари рідко виглядає як класична експлуатація бінарної вразливості типу переповнення буфера. Зазвичай це тихі маніпуляції з політиками доступу IAM (Identity and Access Management).
Згадайте сумнозвісну атаку на SolarWinds. Хакери використали техніку Golden SAML. Вони не ламали сервери "в лоб". Вони викрали криптографічні ключі, які підписували токени доступу (SAML), і після цього могли генерувати для себе легітимні квитки для вступу в будь-який хмарний сервіс компанії, маскуючись під керівників чи адмінів. ATT&CK має для цього окрему техніку - T1606.002. А з контейнерами взагалі окремий біль - адміністратори часто залишають надлишкові привілеї, і головна мета хакера тут - зробити так званий Container Breakout, тобто вирватися з ізольованого середовища контейнера на керуючу хост-машину кластера.
Mobile: Жорсткі пісочниці
Мобільна гілка (Mobile) - це інший звір. Жорсткі "пісочниці" (Sandboxing) операційних систем iOS та Android диктують свої унікальні правила гри. Додатки ізольовані один від одного.
Тут мова йде про складні атаки. Наприклад, використання zero-click експлойтів (коли жертві навіть не треба нічого натискати, як у випадку зі шпигунським ПЗ Pegasus від NSO Group). Або ж зловживання легітимними дозволами. На Android хакери часто використовують техніку "Accessibility Services" (Спеціальні можливості). Цей інструмент, створений для людей з вадами зору, дозволяє додатку читати вміст екрану. Троян отримує цей дозвіл і створює невидимий оверлей (перекриття) поверх вашого банківського клієнта. Ви вводите пароль нібито у свій банк, а насправді - віддаєте його хакерам. Усе це задокументовано в мобільній матриці.
ICS: Суворий кіберпанк та промислові системи
Матриця ICS (Industrial Control Systems) - це територія, де ставки найвищі. Роботу центрифуги на заводі зі збагачення урану чи турбіни на електропідстанції не зламаєш звичайним трояном-шифрувальником. Хакерам тут зазвичай не потрібні бази даних клієнтів чи номери кредитних карток.
Їхня мета - фізична шкода. Відключення світла, руйнування обладнання, зупинка виробництва. Знаменитий вірус Stuxnet або фреймворк Industroyer (яким атакували енергосистеми України) працювали саме за цими принципами. У матриці ICS тактики звучать моторошно: "Блокування функцій реагування", "Порушення керування процесом". Телеметрію тут збирають буквально по крихтах із застарілих промислових протоколів типу Modbus чи DNP3, які взагалі не створювалися з думкою про кібербезпеку.
Kill Chain мертвий? Від лінійності до D3FEND
Kill Chain - це лінійна, красива історія. Зловмисник прийшов, провів розвідку, створив "зброю" (Weaponization), доставив пейлоад, виконав його і досяг мети. Ця модель ідеально підходить для створення звітів перед радою директорів. Вона показує інцидент як зрозумілий бізнес-процес.
Але в реальності хакер рідко діє за такою прямою як стріла лінією. Він може стрибати між етапами. Він може зайти в систему, підвищити привілеї, потім зрозуміти, що йому не вистачає даних, повернутися на етап "Розвідки" (вже всередині мережі), загубити доступ через оновлення Windows, і почати все з початку. Kill Chain на цьому ламається.
ATT&CK - це не лінійка, це скоріше швейцарський ніж або багатовимірна шахова дошка. Це граф. А щоб остаточно закрити всі прогалини в індустрії, MITRE випустила ще й D3FEND - дзеркальну матрицю вже виключно для захисників. На кожну техніку нападу там запропоновано конкретний архітектурний контрзахід. Нападник використовує техніку ін'єкції в процес? D3FEND каже: впроваджуйте аналіз пам'яті процесів (Process Memory Analysis) на рівні EDR-агента. Це замикає коло, створюючи повноцінну екосистему: від розуміння загрози до її архітектурного блокування.
Реальність SOC: як це працює наживо
Звучить потужно, але як це виглядає в щоденній рутині? Уявімо звичайний день в операційному центрі безпеки (SOC).
Відділ кіберрозвідки (Threat Intelligence, або CTI) розбирає свіжий звіт від компанії Mandiant про нову хакерську кампанію. У звіті - 40 сторінок тексту. Замість того, щоб просто виписати звідти десяток IP-адрес командних серверів (які помруть до завтра), аналітик CTI витягує з тексту патерни поведінки і "мапить" їх на техніки MITRE. Він бачить, що хакери використовують WMI (Windows Management Instrumentation) для віддаленого виконання коду. Він тегує це як T1047. Ця структурована інформація через протоколи STIX/TAXII автоматично летить у систему моніторингу.
Тим часом на першій лінії (Tier 1) в аналітика на моніторі спалахує алерт. Якби це була стара система, алерт би називався просто: "Підозріла активність". Що з цим робити - незрозуміло. Але зараз алерт приходить із тегом T1110.003: Password Spraying. Аналітик миттєво отримує контекст. Він розуміє: ага, зловмисник бере один найпопулярніший пароль (наприклад, "Winter2024!") і повільно намагається підставити його до сотень різних корпоративних акаунтів, щоб не викликати блокування облікового запису після трьох невдалих спроб. Це не вірус. Це атака на ідентичність. Реакція буде зовсім іншою - треба аналізувати логи контролера домену (Active Directory), а не запускати перевірку антивірусом на робочому столі.
Red, Blue та Purple Teams
Для атакуючої команди (Red Team) матриця стала чимось на кшталт розкішного меню в ресторані. Вони більше не ламають систему "як вийде". Вони кажуть: "Сьогодні ми будемо грати роль угруповання FIN7". Вони беруть профіль FIN7 з сайту MITRE і крок за кроком відтворюють їхні специфічні техніки в тестовій інфраструктурі компанії.
Потім вони сідають за один стіл із хлопцями із захисту (Blue Team) - так утворюється Purple Team (фіолетова команда). І починається магія: Red Team каже "Я щойно запустив BloodHound для збору інформації про домен", а Blue Team дивиться в консолі і каже "А ми цього не побачили, наш детект не спрацював". Відбувається миттєве коригування правил безпеки на основі реального сліпого тесту, а не паперового аудиту.
Темний бік: пастка "ATT&CK Bingo" та ціна логів
Звісно, руками перевіряти сотні технік - життя не вистачить. Тому індустрія швидко народила інструменти автоматизації. Є легкий Atomic Red Team від Red Canary - це просто набір коротких скриптів для миттєвої перевірки детекту. Скопіював рядок в термінал, натиснув Enter, перевірив чи є алерт. Є монструозніші системи на кшталт фреймворку CALDERA від самої MITRE, який встановлює агентів і сам автономно будує хитромудрі ланцюжки атак.
Але саме тут ховається найстрашніша пастка ІТ-менеджменту.
Синдром "ATT&CK Bingo". Це коли керівництво відкриває ATT&CK Navigator (утиліту для візуалізації покриття у вигляді теплової карти) і вимагає від команди досягти 100% "зеленого" зафарбування матриці. Це не просто помилка - це справжнє операційне божевілля.
Чому? Тому що багато технік - це легітимні дії. Спробуйте увімкнути тотальний моніторинг кожної команди ping, кожного запиту до whoami чи кожного запуску скрипта wscript.exe. Ваш SOC потоне в хибних алертах (False Positives) за півгодини.
Люди зіткнуться з Alert Fatigue (втомою від сповіщень). Вони просто перестануть реагувати на монітор і почнуть "закривати інциденти не дивлячись". У цій величезній купі інформаційного сміття ви гарантовано пропустите справжню тиху атаку. Більше того, збирати всі ці логи - це шалено дорого. Ліцензії на корпоративні SIEM-системи типу Splunk тарифікуються за гігабайти вхідних даних на день. Спроба "зібрати все" просто знищить бюджет ІТ-департаменту.
До того ж, не варто робити з фреймворку релігію. Матриця завжди, за визначенням, відстає від реальності. Вона містить лише те, що вже траплялося раніше і було публічно розслідувано. Сліпа віра в те, що "зелена" матриця дорівнює абсолютній безпеці, породжує величезні сліпі зони. Завтра з'явиться новий zero-day експлойт або абсолютно невідомий протокол обфускації, якого ще немає в базі MITRE, і ваша система, налаштована виключно на старі патерни, пропустить його без єдиного писку.
Висновок
Як казав класик, мапа ніколи не була і не буде територією (“The map is not the territory.” - Alfred Korzybski). MITRE ATT&CK розкішно показує, як саме діє противник, який у нього доступний інструментарій та яка залізна логіка ним керує. Це, без сумніву, найпотужніший концепт у кібербезпеці за останнє десятиліття. Але де саме розставляти пастки і що захищати в першу чергу - це вирішувати виключно вам, спираючись на знання власної інфраструктури.
Не намагайтеся закрити всі квадратики в навігаторі. Це шлях в нікуди. Використовуйте підхід Threat-Informed Defense: дізнайтеся, які саме угруповання атакують вашу специфічну індустрію (фінанси, медицину чи енергетику), виділіть їхні улюблені техніки і сфокусуйте всі свої ресурси на побудові залізобетонного детекту саме для них. Захищайте те, від чого реально залежить виживання вашого бізнесу, а решту залиште для академічних досліджень.
