3. МОДЕЛЬ НАРУШИТЕЛЯ
Тип Внешний
Цели Получение конкурентных преимуществ. Причинение имущественного ущерба путем обмана или
злоупотребления доверием
Потенциал Средний
Возможности Обладают всеми возможностями нарушителей с базовым потенциалом. Имеют осведомленность о мерах
защиты информации, применяемых в информационной системе данного типа. Имеют возможность получить
информацию об уязвимостях отдельных компонент информационной системы путем проведения, с
использованием имеющихся в свободном доступе программных средств, анализа кода прикладного
программного обеспечения и отдельных программных компонент общесистемного программного обеспечения.
Имеют доступ к сведениям о структурно-функциональных характеристиках и особенностях функционирования
информационной системы
Конкурирующие организации
4. УГРОЗЫ ИБ
❑ Угроза
➢ Потенциальная причина нежелательного инцидента, который может
привести к ущербу для системы или организации (СТБ ISO/IEC 27000).
➢ Потенциально возможное событие, явление или процесс, которые
посредством воздействия на компоненты ИС могут привести к нанесению
ущерба (СТБ 34.101.70).
❑ Угроза ИБ – Угроза нарушения свойств ИБ (доступности, целостности или
конфиденциальности) информационных активов организации БС (ТТП 4.1
2020)
Термины
5. УГРОЗЫ ИБ
❑ Уязвимость:
➢ Слабое место объекта (ОО), которое может быть использовано для
нарушения функциональных требований по безопасности в некоторой
среде (СТБ 34.101.1)
➢ Внутренние свойства, определяющие чувствительность к источнику риска,
который может привести к событию с последствием (СТБ ISO Guide 73).
➢ Слабое звено актива или средства управления, которое может быть
источником угроз (ISO/IEC 27000)
Термины
6. УГРОЗЫ ИБ
❑ Ущерб – Утрата активов, повреждение (утрата свойств) активов и (или)
инфраструктуры организации или другой вред активам и (или) инфраструктуре
организации БС, наступивший в результате реализации угроз ИБ через уязвимости
ИБ (ТТП 4.1 2020).
❑ Последствие – Результат события (возникновение или изменение определенного
набора обстоятельств), влияющий на цели (СТБ ISO Guide 73).
❑ Модель угроз ИБ – Описание источников угроз ИБ; методов реализации угроз ИБ;
объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых
источниками угроз ИБ; типов возможных потерь (например, нарушение
доступности, целостности или конфиденциальности информационных активов);
масштабов потенциального ущерба (ТТП 4.1 2020).
Термины
7. Угроза
Источник – Модель нарушителя
Метод реализации
Актив – Классификация в
соответствии с НПА, ТНПА
Уязвимость
Вероятность
Ущерб
УГРОЗЫ НАРУШЕНИЯ ИБ
Моделирование
Актив
Источник 2
Источник 3
Метод 3
Метод 2
Уязвимость 3
Уязвимость 2
Ущерб
Метод 1 Уязвимость 1
Источник 1
ISO 31000 ISO/IEC 27005 ТТП 4.1
http://bdu.fstec.ru/threat
8. Финансы
Репутация
Продуктивность
Количественное измерение влияния рисков
Пример
Слабое воздействие от потери менее 100 000 долларов. Риски этой категории
расцениваются как неудобство, компания с легкостью сможет восстановиться
после этого.
Среднее воздействие от потери до 1 000 000 долларов. На этом уровне риска
среднее звено менеджмента должно получать разрешение на использование
ресурсов компании.
Высокое воздействие от потери до 10 000 000 долларов.
Максимальное воздействие от потерь более 10 000 000 долларов, которые
составляют треть годового дохода компании. Когда риск такого масштаба принят
к сведению, ставится вопрос о выживании компании.
9. Финансы
Репутация
Продуктивность
Количественное измерение влияния рисков
Пример
Низкое воздействие подразумевает, что событие вряд ли повлияет на репутацию
организации.
‰
‰
Средним воздействие можно считать, если клиенты будут жаловаться на свой
негативный опыт контакта с вашей организацией в социальных сетях. В данном случае
аудитория невелика, и чаще всего проблему можно решить на уровне службы
поддержки.
‰
‰
Высокое воздействие подразумевает, что событие стало объектом внимания
специализированной прессы и небольшая группа клиентов, скорее всего, это заметит. В
таком случае репутация организации пострадает, но ее можно восстановить.
Максимальное воздействие представлено рисками, которые привлекут внимание
национальной прессы (газет, телевидения и т. п.) и серьезно ухудшат репутацию
организации. Это будет угрозой существованию организации, и для восстановления
репутации у клиентов потребуются большие усилия.
10. Финансы
Репутация
Продуктивность
Количественное измерение влияния рисков
Пример
Низкое воздействие остановит работу малой группы на период до суток, а большой — до
нескольких минут.
Среднее воздействие остановит работу малой группы на период до нескольких дней, а
большой — до нескольких часов.
Высокое воздействие остановит работу малой группы на период до нескольких недель, а
большой — до нескольких дней. Это серьезно повлияет на организацию, так как будут
откладываться проекты и клиенты не смогут получить свои продукты или сервисы, но
организация способна восстановиться.
Максимальное воздействие остановит работу малой группы на месяцы, а большой — на
недели. В такой ситуации способность организации производить ценность значительно
снижается, возникает угроза ее существованию, а восстановление потребует больших
усилий.
Команда, в которую
входит до 10 %
сотрудников, является
малой группой, а если их
больше, то большой.
11. УГРОЗЫ ИБ
❑ Угрозы, связанные с физическим доступом к информационным системам
❑ Нецелевое использование компьютерного оборудования и сети Интернет
сотрудниками организации
❑ Угрозы утечки конфиденциальной информации
❑ Угрозы утечки информации по техническим каналам
❑ Угрозы несанкционированного доступа
❑ Угрозы недоступности информационных технологий сервисов и
разрушения (утраты) информационных активов
❑ Угрозы нарушения целостности и несанкционированной модификации
данных
❑ Угрозы антропогенных и природных катастроф
❑ Юридические угрозы
Классификация 1
12. АНАЛИЗ РИСКА
❑ Воздействие (impact) неблагоприятное изменение уровня
достигнутых бизнес целей
❑ Риск информационной безопасности (Information security risk)
потенциальная угроза эксплуатации уязвимости актива или группы
ценных свойств, вызывая, таким образом, вред организации
❑ Предотвращение риска (risk avoidance) решение не быть
вовлеченным или действие уйти из ситуации риска
Термины
14. МЕНЕДЖМЕНТ РИСКА ИБ (СТБ ISO/IEC 27005)
❑ Схема процесса менеджмента
риска
Процесс
15. ОЦЕНКА РИСКА
❑ Идентификация
❑ Анализ
❑ Оценивание
ISO/IEC 27005
a.
Идентификация
активов
b.
Идентификация
угроз
c.
Идентификация
защитных мер
d.
Идентификация
уязвимостей
e.
Идентификация
последствий
(ущерб)
Активы Угрозы
Уязвимости
Сценарии
реализации
угроз
a. Выбор
методик
b. Оценка
последствий
(ущерб)
c. Оценка
вероятности
инцидента
d.
Определение
уровня риска
Методика
анализа
Последствия
(ущерб)
Вероятность
реализации
сценария
Уровень риска
a. Оцененные
риски
Риски
Защитные меры
17. КОЛИЧЕСТВЕННАЯ ОЦЕНКА РИСКА ИБ
Для каждого актива необходимо ответить на следующие вопросы для
определения его ценности:
❑ В чем заключается ценность данного актива для компании?
❑ Сколько стоит его поддержка?
❑ Какую прибыль он приносит компании?
❑ Сколько за него готовы заплатить конкуренты?
❑ Сколько будет стоить его повторное создание или восстановление?
❑ Сколько стоило его получить или разработать?
❑ Какова мера ответственности в случае компрометации данного актива?
Шаг 1: Определить ценность активов
18. КОЛИЧЕСТВЕННАЯ ОЦЕНКА РИСКА ИБ
Рассчитать ожидаемый ущерб от единичного инцидента (SLE – Single Loss
Expectancy) для каждого актива и каждой угрозы
SLE = Ценность актива х EF (Exposure Factor)
EF (фактор воздействия) – это процент ущерба для актива от
реализовавшейся угрозы, т.е. часть значения (ценности), которую актив потеряет
в результате инцидента.
Шаг 2: Оценить потенциальные потери от угрозы
19. КОЛИЧЕСТВЕННАЯ ОЦЕНКА РИСКА ИБ
Рассчитать среднегодовую частоту возникновения инцидентов (ARO –
Annualized Rate of Occurrence), которая показывает сколько инцидентов может
произойти за год.
Шаг 3: Выполнить анализ угроз
20. КОЛИЧЕСТВЕННАЯ ОЦЕНКА РИСКА ИБ
Объединить потенциальные потери и вероятность.
Рассчитать ожидаемый среднегодовой ущерб (ALE – Annualized Loss
Expectancy) на угрозу, используя информацию, собранную на первых трех
шагах.
ALE = SLE х ARO
Выбрать контрмеры для противодействия каждой угрозе.
Выполнить анализ затрат/выгод выбранных контрмер.
Шаг 4: Определить общие годовые потери на угрозу
21. КОЛИЧЕСТВЕННАЯ ОЦЕНКА РИСКА ИБ
❑ ценность актива "хранилище данных" составляет $150,000. В случае пожара может быть
повреждено 25% хранилища (но не более, т.к. установлена система пожаротушения,
поблизости находится пожарная часть и т.д.). В этом случае SLE будет составлять $37,500.
❑ Таким образом, если SLE для хранилища данных компании при пожаре равно $37,500, а
пожары в аналогичных условия случаются примерно раз в 10 лет (ARO равно 0,1), величин
❑ Значение ALE используется при оценке целесообразности внедрения тех или иных мер защиты
соответствующего актива от соответствующей угрозы – годовая стоимость защитных мер,
обеспечивающих необходимый уровень безопасности актива, не должна превышать значение
ALE. а ALE будет равна $3,750 ($37,500 х 0,1 = $3,750).
Пример
23. КАЧЕСТВЕННАЯ ОЦЕНКА РИСКА ИБ
❑ Определить ценность актива
(уровень воздействия).
❑ Оценить вероятность реализации
угрозы этому активу (вероятность
воздействия).
2-х факторный
Вероятность
воздействия
Уровень воздействия
Низкий (10) Средний (50) Высокий (100)
Низкая (0,1) 1 5 10
Средняя (0,5) 5 25 50
Высокая (1,0) 10 50 100
Вероятность
воздействия
Уровень воздействия
Низкий (1) Средний (2) Высокий (3)
Низкая (1) 2 3 4
Средняя (2) 3 4 5
Высокая (3) 4 5 6
24. КАЧЕСТВЕННАЯ ОЦЕНКА РИСКА ИБ
❑ Определить ценность активов
(вероятные потери)
❑ Оценить вероятность
возникновения угрозы.
❑ Оценить уязвимость активов по
отношению к данной угрозе.
❑ Вычислить по матрице уровень
риска
❑ Вычислить суммарный уровень
риска от реализации угрозы
❑ Ранжировать угрозы
3-х факторный
Вероятность
возникновения
угрозы
Низкая Средняя Высокая
Уязвимость актива Н С В Н С В Н С В
Ценность
актива
0 0 1 2 1 2 3 2 3 4
1 1 2 3 2 3 4 3 4 5
2 2 3 4 3 4 5 4 5 6
3 3 4 5 4 5 6 5 6 7
4 4 5 6 5 6 7 6 7 8
28. ❑ Стандарт определяет требования к
организациям по установлению,
внедрению, поддержанию и
постоянному улучшению системы
менеджмента сервисов (СМС).
❑ Требования включают в себя
планирование, проектирование,
перенесение, поставку и
улучшение сервисов для
выполнения требований сервисов
и принесения выгоды.
28/91
ISO/IEC 20000-1:2018
СИСТЕМА УПРАВЛЕНИЯ УСЛУГАМИ
30. 30/91
ISO/IEC 20000-1:2018
СИСТЕМА УПРАВЛЕНИЯ УСЛУГАМИ
8 Operation
8.7 Service assurance
8.7.1 Service availability
management
8.7.2 Service continuity
management
8.7.3 Information security
management
31. ISO/IEC 20000-1:2018 — «Information technology – Service
management – Part 1: Service management system
requirements»
https://www.iso.org/standard/70636.html
8.7.3 Information Security
Management
8.7.3.1 Information Security
Policy
8.7.3.2 Information Security
Controls
8.7.3.3 Information Security
Incidents
ISO/IEC
27001:2013
ISO/IEC 27005
32. 8.7.3 Information security management
8.7.3.2 Средства управления информационной безопасностью
✓ Через запланированные интервалы времени риски, связанные с
информационной безопасностью, в отношении СМС и сервисов должны
быть оценены и документированы. Средства управления информационной
безопасностью должны быть определены, внедрены и реализованы в целях
обеспечения политики в области информационной безопасности, а также должны
учитывать идентифицированные риски, связанные с информационной
безопасностью. Решения в отношении средств управления информационной
безопасностью должны быть документированы.
✓ Организация должна согласовать и внедрить средства управления
информационной безопасностью в отношении рисков, связанные с
информационной безопасностью для внешних организаций.
✓ Организация должна осуществлять мониторинг и анализ результативности
средств управления информационной безопасностью и предпринимать
соответствующие действия.
39. ДРУГИЕ ТРЕБОВАНИЯ НПА И ТНПА
ПО УПРАВЛЕНИЮ РИСКАМИ
Приказ ОАЦ №66 «Положение о порядке технической и криптографической защиты
информации, обрабатываемой на критически важных объектах информатизации»
Постановление правления НБРБ № 550 «Инструкция об организации системы управления
рисками ...»
ТТП 2.1 – 2020 «Информационные технологии и безопасность. Обеспечение
информационной безопасности банков Республики Беларусь. Требования к системам
менеджмента информационной безопасности»
General Data Protection Regulation
40. Приказ ОАЦ №66 «Положение о порядке технической и
криптографической защиты информации, обрабатываемой на критически
важных объектах информатизации»
41. Проектирование системы ИБ КВОИ:
Этап Результат
15.1. определение внутренних (организационная структура, информационные системы, информационные потоки
и процессы) и внешних (взаимосвязи с контрагентами и другое) границ, оказывающих влияние на обеспечение
ИБ КВОИ;
Отчет о проведении
обследования КВОИ
15.2. определение целей обеспечения ИБ КВОИ, совместимых с процессами деятельности владельца КВОИ и
прогнозными документами организации;
Отчет о проведении
обследования КВОИ
15.3. инвентаризация (выявление и учет), а также определение степени важности для основной деятельности
владельца КВОИ (исходя из конфиденциальности, целостности и доступности) активов КВОИ;
Реестр активов КВОИ
15.4. определение работников, ответственных за использование активов КВОИ; Отчет о проведении
обследования КВОИ
Раздел в Политику ИБ
15.5. определение физических и логических границ области применения системы ИБ с использованием
структурной и логической схем КВОИ;
Формуляр КВОИ
Структурная схема
Логическая схема
15.6. определение угроз ИБ КВОИ; Реестр (каталог) угроз
КВОИ
15.7. разработка методологии (методики) оценки рисков ИБ КВОИ и оценка таких рисков; Методика оценки рисков
Отчет по результатам
оценки рисков
15.8. определение требований к параметрам настройки программных и программно-аппаратных средств,
включая средства ЗИ, по обеспечению ИБ КВОИ, блокированию (нейтрализации) угроз ИБ КВОИ;
Положение по
администрированию КВОИ
15.9. определение средств управления, необходимых для реализации выбранного варианта обработки рисков
ИБ КВОИ.
План обработки рисков
43. Проведение оценки и обработки рисков безопасности
1.1.
Идентификация
активов
Активы ИС
1.2.
Идентификация
угроз
Модель угроз
1.3.
Идентификация
уязвимостей
Уязвимости ИС
1.4.
Идентификация
мер защиты
Меры защиты
ИС
2.1. Оценка
вероятности
реализации
угроз
Вероятность
реализации
угроз
2.2. Оценка
возможных
последствий
Последствия
(ущерб)
3.1. Оценка
рисков
Уровень риска
44. ОЦЕНКА И УПРАВЛЕНИЕ IT-РИСКАМИ В БАНКЕ.
❑ ТТП ИБ 2.1 – 2020
❑ ТТП ИБ 4.1 – 2020
❑ Постановление правления НБРБ № 550
45. Постановление правления НБРБ № 550
«Инструкция об организации системы управления рисками ...»
https://www.nbrb.by/legislation/documents/PP_550_2016.pdf
Кредитный риск
Страновой риск
Рыночный риск
Процентный риск банковского портфеля
Риск ликвидности
Операционный риск
Правовой риск
Кибер-риск
Риск технический
Риск в сфере информационных технологий
Риск, связанный с аутсорсингом
+ еще 13 видов операционного риска
Стратегический риск
Репутационный риск
Риск концентрации
46. 46/91
ТТП ИБ 2.1 «Информационные технологии и
безопасность. Обеспечение информационной
безопасности банков Республики Беларусь.
Требования к системам менеджмента
информационной безопасности».
47. 8 Требования к выбору/коррекции подхода к оценке рисков нарушения
информационной безопасности и проведению оценки рисков нарушения
информационной безопасности
9 Требования к разработке планов обработки рисков нарушения информационной
безопасности
47/91
ТТП ИБ 2.1
ОБЕСПЕЧЕНИЕ ИБ БАНКОВ РБ
48. 8.1 В организации БС должна быть принята /
корректироваться методика оценки рисков нарушения ИБ
/ подход к оценке рисков нарушения ИБ.
8.2 В организации БС должны быть определены критерии
принятия рисков нарушения ИБ и уровень допустимого
риска нарушения ИБ.
48/91
8 Требования к выбору/коррекции подхода к оценке
рисков нарушения ИБ и проведению оценки рисков
нарушения ИБ
49. 8.3 Методика оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ
организации БС должна определять способ и порядок качественного или
количественного оценивания риска нарушения ИБ на основании оценивания:
– степени возможности реализации угроз ИБ выявленными и (или)
предполагаемыми источниками угроз ИБ, зафиксированными в моделях угроз и
нарушителя, в результате их воздействия на объекты среды информационных
активов организации БС (типов информационных активов);
– степени тяжести последствий от потери свойств ИБ, в частности свойств
доступности, целостности и конфиденциальности, для рассматриваемых
информационных активов (типов информационных активов).
Порядок оценки рисков нарушения ИБ должен определять необходимые процедуры
оценки рисков нарушения ИБ, а также последовательность их выполнения.
49/91
8 Требования к выбору/коррекции подхода к оценке
рисков нарушения ИБ и проведению оценки рисков
нарушения ИБ
50. 8.4 Оценка рисков нарушения ИБ проводится для свойств ИБ всех
информационных активов (типов информационных активов) области действия
СОИБ.
8.5 Полученные в результате оценивания рисков нарушения ИБ величины рисков
должны быть соотнесены с уровнем допустимого риска, принятого в организации
БС. Результатом выполнения указанной процедуры является документально
оформленный перечень недопустимых рисков нарушения ИБ.
50/91
8 Требования к выбору/коррекции подхода к оценке
рисков нарушения ИБ и проведению оценки рисков
нарушения ИБ
51. 8.6 В организации БС должны быть документально определены роли, связанные с
деятельностью по определению/коррекции методики оценки рисков нарушения
ИБ/подхода к оценке рисков нарушения ИБ, и назначены ответственные за
выполнение указанных ролей.
8.7 Требования по менеджменту рисков ИБ в организации БС изложены в ТТП ИБ
4.1-2020.
51/91
8.4 Требования к выбору/коррекции подхода к
оценке рисков нарушения ИБ и проведению оценки
рисков нарушения ИБ
52. 9.1 По каждому из рисков нарушения ИБ, который является недопустимым, должен
быть документально определен план, устанавливающий один из возможных
способов его обработки:
– перенос риска на сторонние организации (например, путем страхования
указанного риска);
– уход от риска (например, путем отказа от деятельности, выполнение которой
приводит к появлению риска; страхование риска);
– осознанное принятие риска;
– формирование требований ИБ, снижающих риск нарушения ИБ до допустимого
уровня и формирования планов по их реализации.
52/91
9 Требования к разработке планов
обработки рисков нарушения ИБ
53. 9.2 Планы обработки рисков нарушения ИБ должны быть согласованы с
руководителем службы ИБ либо лицом, отвечающим в организации БС за
обеспечение ИБ, и утверждены руководством.
9.3 Планы реализаций требований по обеспечению ИБ должны содержать
последовательность и сроки реализации и внедрения организационных,
технических и иных мер защиты.
9.4 В организации БС должны быть документально определены роли по
разработке планов обработки рисков нарушения ИБ и назначены ответственные за
выполнение указанных ролей.
53/91
9 Требования к разработке планов обработки рисков
нарушения ИБ
54. ТТП ИБ 2.1 «Информационные технологии и безопасность.
Обеспечение информационной безопасности банков
Республики Беларусь. Требования к системам менеджмента
информационной безопасности».
ТТП ИБ 2.1-2020
8 Требования к выбору/коррекции
подхода к оценке рисков нарушения
информационной безопасности и
проведению оценки рисков нарушения
информационной безопасности
9 Требования к разработке планов
обработки рисков нарушения
информационной безопасности
Постановлени
е правления
НБРБ № 550
«Инструкция
об
организации
системы
управления
рисками ...»
ТТП ИБ 4.1-2020
Рекомендуемые
56. Статья 32 GDPR. Безопасность обработки
56
1. Принимая во внимание текущий уровень научно-технического прогресса, стоимость
внедрения и характер, масштабы, контекст и цели обработки, а также риски, связанные с той
или иной вероятностью и серьезностью нарушения прав и свобод физических лиц,
контролёр и процессор должны реализовать соответствующие технические и организационные
меры для обеспечения уровня безопасности соответствующего данным рискам, включая в
частности при необходимости:
(a) псевдонимизацию и шифрование персональных данных;
(b) способность обеспечить постоянную конфиденциальность, целостность, доступность и
устойчивость систем и сервисов обработки;
(c) способность своевременно восстанавливать доступность персональных данных в случае
возникновения физического или технического инцидента;
(d) регулярное тестирование, оценку и измерение эффективности технических и
организационных мер по обеспечению безопасности обработки.
2. При оценке достаточности уровня безопасности необходимо учитывать риски,
связанные с обработкой, в частности риски случайного или незаконного уничтожения, потери,
изменения, несанкционированного раскрытия или доступа к переданным, хранимым, или другим
образом обрабатываемым персональным данным
General Data Protection Regulation
57. Article 35 Data
protection impact
assessment
The assessment
shall contain at
least:
(a) a systematic description of the envisaged processing operations
and the purposes of the processing, including, where applicable, the
legitimate interest pursued by the controller;
(b) an assessment of the necessity and proportionality of
the processing operations in relation to the purposes;
(c) an assessment of the risks to the rights and freedoms of data
subjects referred to in paragraph 1; and
(d) the measures envisaged to address the risks, including
safeguards, security measures and mechanisms to ensure the
protection of personal data and to demonstrate compliance with this
Regulation taking into account the rights and legitimate interests of
data subjects and other persons concerned.
https://gdpr.eu/wp-content/uploads/2019/03/dpia-template-v1.pdf
https://data-privacy-office.com/en/kursy/
General Data Protection Regulation
62. Фреймворк моделирования угроз STRIDE
FAIR (факторный анализ информационного риска)
Угроза Нарушенное
свойство
Пример
S Spoofing (Спуфинг) Подлинность незаконное получение доступа и использование данных
аутентификации другого пользователя, например имени
пользователя и пароля
T Tampering
(Вмешательство в
данные)
Целостность незаконное внесение изменений в данные, которые, предположим,
находятся в базе данных.
изменение данных во время их передачи одним компьютером
другому по сети.
R Repudiation (Отрицание) Неотказуемость угрозы отрицания исходят от пользователей, которые отрицают
выполнение действия, пока другая сторона не докажет обратное
I Information disclosure
(Раскрытие
информации)
Конфиден-
циальность
предоставление информации тем, кто не должен был получить к
ней доступ, например чтение пользователем файла, к которому он
не должен иметь доступа, или возможность чтения атакующим
данных, передающихся между двумя компьютерами
D Denial of Service (Отказ в
обслуживании)
Доступность DoS-атаки делают сервисы недоступными для действительных
пользователей, например, при временном отсутствии доступа или
невозможности использования.
E Elevation of Privilege
(Расширение прав
доступа)
Авторизация получение непривилегированным пользователем расширенных
прав доступа и возможностей для вторжения или разрушения
всей системы
https://en.wikipedia.org/wiki/STRIDE_(security)
74. Матрицы MITRE ATT&CK объединены в четыре группы:
1. PRE-ATT&CK — тактики и техники, которые злоумышленники используют на
этапе подготовки к кибератаке.
2. Enterprise — тактики и техники, которые злоумышленники применяют в ходе
атаки на предприятия. В этой группе доступна как сводная матрица, так и
отдельные матрицы, содержащие тактики и техники кибератак на
конкретные операционные системы и облачные сервисы.
3. Mobile — тактики и техники, которые злоумышленники используют в ходе
атаки на мобильные устройства под управлением iOS и Android.
4. ATT&CK for ICS — тактики и техники, которые используются в атаках на
промышленные системы управления.
В базе знаний MITRE ATT&CK доступны перечни техник, которыми пользуются известные APT-
группировки, а также списки вредоносного инструментария этих группировок.
На сайте MITRE ATT&CK представлены основные методы укрепления защиты организации.
