“Если ты пытаешься объяснить кибератаку словами — ты уже проиграл. Картинки и графы говорят лучше. Здесь я покажу, как взять каталог MITRE ATT&CK и превратить его из справочника в работающую модель для автоматизированного анализа.”
Почему ATT&CK недостаточно
Каталог MITRE ATT&CK, это обширная база знаний о тактиках и техниках киберугроз. Его используют для составления профилей угроз, оценки защищённости и обучения специалистов. Однако в своём базовом виде это просто структурированный список.
Основная проблема — отсутствие явно заданных связей между элементами. Техники перечислены внутри тактик, но не описаны их последовательности, зависимости и альтернативные пути, которые использует злоумышленник. Аналитик вынужден вручную собирать эти связи из описаний, что замедляет работу и повышает риск упустить важные комбинации.
Графовые модели решают эту проблему, представляя данные ATT&CK как сеть узлов и рёбер, где узлы, это техники, а рёбра — возможные переходы между ними.
Что такое графовая модель угроз
Графовая модель, это способ представления данных в виде сети взаимосвязанных объектов. В контексте киберугроз объектами становятся события, действия злоумышленника, артефакты системы или, как в случае с ATT&CK, техники атаки. Преимущество графа в наглядности: сразу видна не только точка входа, но и потенциальные пути развития атаки, точки ветвления и конечные цели. Это превращает статический каталог в динамическую карту возможных событий.
Построение графа на основе MITRE ATT&CK
Для автоматизации анализа нужна машиночитаемая модель. Исходные данные берутся из официального репозитория MITRE в формате STIX (Structured Threat Information Expression). Это JSON-подобный формат, где каждая техника, тактика и группа угроз описана как отдельный объект со своими атрибутами и связями.
Ключевой момент — извлечение неявных связей. Прямых указаний «техника А ведёт к технике Б» в данных часто нет. Связи выявляются косвенно:
- Анализ отношений «использует» (uses): Если группа угров (например, APT29) использует техники А и Б, между ними можно предположить возможную связь.
- Семантический анализ описаний: Упоминание в описании одной техники названия другой может стать основанием для создания ребра графа.
- Тактическая последовательность: Техники внутри одной тактики MITRE (например, «Выполнение» — Execution) часто следуют друг за другом по логике атаки.
Процесс построения можно описать схематично:
- Загрузка данных ATT&CK в формате STIX.
- Парсинг объектов и извлечение техник (attack-pattern).
- Анализ отношений между объектами для выявления связей.
- Формирование списка узлов (техники) и рёбер (связи между ними).
- Экспорт структуры в формат, пригодный для графовых баз данных (например, Neo4j) или библиотек анализа (например, NetworkX в Python).
Для работы с такими данными в Python часто используют библиотеки stix2 и taxii2-client.
# Пример: загрузка коллекции ATT&CK через TAXII-сервер
from taxii2client.v20 import Server, Collection
server = Server("https://cti-taxii.mitre.org/taxii/")
api_root = server.api_roots[0]
collection_info = next(c for c in api_root.collections if c.title == "Enterprise ATT&CK")
collection = Collection(f"{api_root.url}{collection_info.id}/")
# Получение объектов STIX
objects = collection.get_objects()Автоматизированный анализ на графах
С готовой графовой моделью можно решать задачи, недоступные при ручном анализе списка.
Выявление аномальных последовательностей. Системы мониторинга (SIEM, EDR) генерируют события. Если сопоставить эти события с техниками ATT&CK, получится цепочка активированных узлов графа. Алгоритмы анализа графов могут сравнить эту цепочку с типичными путями атак и выделить отклонения, указывающие на новую или кастомную атаку.
Прогнозирование следующих шагов атаки. Зная текущую позицию злоумышленника в графе (какие техники уже использованы), можно рассчитать наиболее вероятные следующие вершины, основываясь на статистике прошлых инцидентов или логике тактик. Это позволяет упреждающе усиливать защиту на угрожаемых направлениях.
Оценка покрытия средств защиты. Каждую технику ATT&CK можно связать с контрмерами (security controls) — правилами файервола, сигнатурами антивируса, политиками DLP. Визуализация графа с цветовой маркировкой (например, зелёный — защита есть, красный — уязвимость) сразу показывает слабые места в защитном периметре.
Моделирование атак (Attack Simulation). Автоматизированные инструменты могут «проигрывать» атаку, двигаясь по графу от начальной точки компрометации (например, фишинговая ссылка) к конечной цели (кража данных). Это помогает оценить реалистичность сценариев и эффективность детектирующих правил.
Практический пример: обнаружение цепочки атаки
Представим, что в логах обнаружены события, соответствующие трём техникам ATT&CK:
- T1566.001 — Фишинг по электронной почте (тактика Initial Access).
- T1059.003 — Командная оболочка Windows (Execution).
- T1087.001 — Перечисление локальных учётных записей (Discovery).
В виде списка это просто три факта. Графовая модель, построенная на данных MITRE, может показать, что это типичное начало для нескольких сценариев:
- Путь А: После перечисления учётных записей (T1087.001) часто следует попытка подбора пароля (T1110).
- Путь Б: Одновременно может начаться сбор информации о системе (T1082) для поиска уязвимостей.
- Путь В: Злоумышленник может попытаться получить учётные данные из памяти (T1003).
Аналитическая система, видя активацию узлов T1566.001 → T1059.003 → T1087.001, автоматически поднимет уровень угрозы и предложит проверить события, соответствующие техникам T1110, T1082 и T1003, упреждая следующие вероятные шаги атакующего.
Интеграция с системами Security Operations
Чтобы графовые модели приносили практическую пользу, их необходимо интегрировать в рабочий процесс SOC (Security Operations Center).
SIEM и SOAR. Модули, основанные на ATT&CK, могут сопоставлять входящие события с техниками и строить в реальном времени граф инцидента. Платформы SOAR (Security Orchestration, Automation and Response) могут использовать эту модель для автоматического запуска сценариев реагирования — например, при обнаружении цепочки, ведущей к технике шифрования данных (T1486), автоматически изолировать заражённый хост.
EDR/XDR. Современные системы Endpoint Detection and Response уже используют таксономию ATT&CK для классификации обнаруженных на конечных точках угроз. Графовые модели позволяют агрегировать события с разных хостов в единую картину атаки, показывая не просто отдельные вредоносные действия, а их стратегическую связь.
Threat Intelligence Platforms. Платформы для работы с разведданными об угрозах (TIP) обогащают графовые модели данными из внешних источников: добавляют узлы, соответствующие конкретным вредоносным семействам, связывают техники с известными группами хакеров (например, FIN7, Lazarus Group), что повышает точность атрибуции и прогнозирования.
Ограничения и проблемы
Несмотря на потенциал, подход имеет уязвимые места.
Качество исходных данных. Связи в графе строятся на данных MITRE, которые могут быть неполными или субъективными. Разные аналитики могут по-разному интерпретировать одни и те же события.
Ложные срабатывания и шум. Автоматическое сопоставление событий с техниками ATT&CK может приводить к большому количеству ложноположительных срабатываний, «зашумляя» граф нерелевантными вершинами и затрудняя обнаружение реальной атаки.
Вычислительная сложность. Анализ больших графов в реальном времени требует значительных вычислительных ресурсов. Поиск оптимальных путей, кластеризация и выявление аномалий на графах с тысячами узлов — нетривиальная задача.
Статичность модели. База MITRE ATT&CK обновляется, но не с той скоростью, с которой появляются новые техники атак. Граф, построенный на устаревших данных, может не отражать актуальные тактики злоумышленников.
Будущее графового анализа угроз
Направление развивается в сторону повышения интеллектуальности и автоматизации.
Применение машинного обучения. Алгоритмы ML могут обучаться на исторических данных об инцидентах, чтобы самостоятельно выявлять новые, ещё не описанные в ATT&CK связи между техниками, делая графовые модели адаптивными и самообучающимися.
Прогнозное моделирование. На основе графовой модели и текущего состояния системы можно будет не только предсказывать следующие шаги атаки, но и моделировать её полный цикл для оценки потенциального ущерба и оптимизации инвестиций в защиту.
Интеграция с другими таксономиями. MITRE ATT&CK — не единственная модель. Его можно комбинировать с другими фреймворками, например, с Lockheed Martin Cyber Kill Chain® для более детального отображения этапов атаки или с MITRE D3FEND для непосредственного сопоставления техник атаки и методов защиты.
Как начать использовать графовые модели
Внедрение не требует немедленной покупки сложных коммерческих решений. Начать можно с пилотных проектов.
- Эксперименты с открытыми данными. Загрузите данные MITRE ATT&CK в формате STIX и с помощью Python-библиотек (NetworkX, igraph) постройте простой граф. Визуализируйте его для конкретной тактики, например, «Lateral Movement».
- Интеграция с логами. Напишите скрипт, который сопоставляет события из вашего SIEM (например, по полю
event_codeилиcommand_line) с ID техник ATT&CK. Постройте временной граф активации этих техник для анализа реального инцидента. - Использование готовых инструментов. Изучите opensource-решения, такие как
MITRE ATT&CK Navigator(для визуализации) илиCaldera(платформа для моделирования атак на основе ATT&CK). Некоторые коммерческие SIEM и XDR-платформы уже имеют встроенную поддержку графового анализа на основе ATT&CK.
Графовые модели превращают MITRE ATT&CK из пассивного каталога в активный инструмент аналитика. Они позволяют увидеть не просто отдельные деревья — техники атаки, — но и весь лес — целостную стратегию злоумышленника. В условиях дефицита специалистов и растущего объёма данных это не просто удобно, а необходимо для эффективного противодействия современным угрозам.