“Задача выглядит чисто тактической: связать базу уязвимостей с тактиками злоумышленников. На деле это стратегический сдвиг, когда разрозненные данные о ‘дырах’ превращаются в живую карту рисков для конкретного бизнеса. Мост, это не скрипт, а новая модель мышления. Там, где CVE даёт ответ ‘что сломалось?’, MITRE ATT&CK отвечает на вопрос ‘а что с этим можно сделать, и на какую часть бизнеса это нацелено?’”
Зачем вообще строить этот мост?
Типичная ситуация в ИБ-отделе: сканер уязвимостей заваливает команду сотнями CVE, из которых критическими помечены два десятка. Ресурсы на исправление ограничены, и все силы уходят на заплатки к самым высоким CVSS. Проблема в том, что высокая техническая оценка уязвимости не означает высокую бизнес-рисковость её эксплуатации в вашем конкретном окружении. Уязвимость может открывать путь к краже финансовых данных, а может — к получению прав на сервер разработки, который ни с чем критическим не связан.
MITRE ATT&CK, это не про уязвимости, а про действия злоумышленника (тактики и техники) после того, как начальная точка входа уже найдена. CVE, это как список открытых дверей в здании. ATT&CK, это карта внутренних помещений и маршрутов, по которым вор сможет дойти до сейфа после того, как через любую из этих дверей проникнет. Мост позволяет определить: какая конкретная ‘дверь’ (CVE) ведёт на самый короткий и опасный маршрут к вашему ‘сейфу’ (критическим активам). Без такого сопоставления защита часто строится по принципу ‘заварить все двери’, что невозможно, вместо ‘усилить охрану на пути к сейфу и поставить на эти пути самые крепкие замки’.
Понимание ‘языков’ по обе стороны моста
Прежде чем искать точки соприкосновения, нужно чётко разделить, что описывает каждая из систем.
CVE (Common Vulnerabilities and Exposures), это стандартизированный идентификатор для публично известных уязвимостей в ПО и аппаратуре. Его суть — констатация факта: в определённой версии продукта существует дефект, позволяющий нарушить конфиденциальность, целостность или доступность. CVE говорит о ‘что’, но почти никогда о ‘как применить’ и ‘зачем’.
MITRE ATT&CK®, это структурированная база знаний о тактиках, техниках и процедурах (TTP) киберпротивников, наблюдаемых в реальных атаках. Её суть — описание поведения. Например, техника T1059.001 (Command and Scripting Interpreter: PowerShell) не привязана к конкретной уязвимости. Она описывает, что злоумышленник, уже получивший доступ, может использовать PowerShell для выполнения произвольного кода. Эта техника может быть реализована через эксплуатацию уязвимости, фишинг или злоупотребление легитимными инструментами.
Ключевое несовпадение: CVE, это статическое состояние системы (ошибка в коде). ATT&CK, это динамический процесс (действие злоумышленника). Мост строится там, где конкретная уязвимость является стандартным, документированным способом реализации одной из техник ATT&CK.
Прямое сопоставление: когда CVE явно указывает на технику
Самый простой случай — когда в описании CVE или связанных с ней источников (эксплойт-код, отчёты аналитиков) прямо указаны конкретные техники MITRE ATT&CK. Это характерно для уязвимостей, которые являются ‘рабочими лошадками’ в цепочках атак.
Рассмотрим гипотетический, но типичный пример. Допустим, существует CVE-202X-XXXXX в системе управления корпоративными рабочими станциями. Уязвимость позволяет удалённо, без аутентификации, выполнить произвольные команды с правами системного администратора.
- Какая тактика ATT&CK здесь очевидна? TA0002: Execution (Выполнение).
- Какие конкретные техники? Это может быть T1059.001: Command and Scripting Interpreter: PowerShell (если выполнение происходит через него) или T1059.003: Command and Scripting Interpreter: Windows Command Shell. Также задействована тактика TA0004: Privilege Escalation (Повышение привилегий), так как итоговые права — системные.
В этом случае связь ‘CVE → ATT&CK’ почти прямолинейна. Работа специалиста ИБ сводится к верификации и документированию этих связей. Для автоматизации можно использовать открытые источники, например, базу MITRE CVE® или платформы киберразведки, которые уже включают такие сопоставления. Однако полагаться только на автоматику рискованно — контекст эксплуатации уязвимости может раскрывать дополнительные, менее очевидные техники.
Контекстуальный анализ: выявление скрытых связей
Чаще всего прямое указание на ATT&CK в описании CVE отсутствует. Тогда мост нужно строить через анализ контекста возможной эксплуатации. Это требует понимания не только технической механики уязвимости, но и того, как она может быть использована в реальной атаке.
Возьмём пример уязвимости в межсетевом экране, позволяющей получить конфигурационный файл устройства (CWE-200: Information Exposure). На первый взгляд, это просто утечка данных.
- Механика уязвимости (CVE): отправка специально сформированного запроса возвращает конфиг файл.
- Анализ ‘что даёт злоумышленнику’: в конфигурационном файле содержатся правила фильтрации, IP-адреса внутренних сетей, возможны хэши паролей или ключи для VPN.
- Сопоставление с ATT&CK:
- Первичная техника: T1592: Gather Victim Host Information (Сбор информации об узле жертвы). Злоумышленник узнаёт структуру сети и параметры защиты.
- Последующая техника: T1589.001: Gather Victim Identity Information: Credentials (Сбор учётных данных), если в конфиге найдены хэши.
- Дальнейшее развитие атаки: полученные данные о сетевых правилах могут быть использованы для техники T1590.001: Gather Victim Network Information: Network Topology и планирования следующих шагов, например, T1190: Exploit Public-Facing Application против другого сервиса, адрес которого стал известен.
одна, казалось бы, ‘информационная’ уязвимость становится отправной точкой для целого кластера разведывательных техник, формируя прочную связку ‘CVE → Тактика Reconnaissance (Разведка)’. Этот анализ уже нельзя полностью автоматизировать — требуется экспертиза.
Инструменты и источники данных для построения моста
Вручную сопоставлять тысячи CVE нереально. На помощь приходят специализированные платформы и базы данных, которые агрегируют связи между уязвимостями и тактиками атак.
| Источник/Инструмент | Тип данных | Как помогает строить мост |
|---|---|---|
| MITRE CAPEC™ (Common Attack Pattern Enumeration and Classification) | База шаблонов атак | Часто выступает промежуточным звеном. CVE может быть связана с шаблоном атаки (CAPEC), который, в свою очередь, маппится на техники ATT&CK. |
| Платформы киберразведки (Threat Intelligence Platforms) | Агрегация данных из открытых и коммерческих источников | Многие платформы автоматически обогащают информацию об IOC (Indicators of Compromise) и уязвимостях данными из ATT&CK, включая техники, используемые группами, которые эксплуатируют конкретные CVE. |
| Открытые репозитории (например, на GitHub) | Скрипты, таксономии, community-проекты | Существуют проекты по публичному сбору и верификации связей CVE-ATT&CK. Это ‘народная’ база знаний, которую можно использовать как отправную точку. |
| База знаний производителя ПО | Бюллетени безопасности, рекомендации | В качественных бюллетенях производители всё чаще указывают не только CVSS, но и потенциальное воздействие в терминах кибератак, что косвенно указывает на возможные тактики. |
ни один источник не даёт полной и абсолютно точной картины. Работа строится на triangulation — пересечении данных из нескольких независимых источников для повышения достоверности связей.
Практическое применение: от связей к приоритизации
Построив мост и получив для критических CVE список связанных техник ATT&CK, мы переходим к главному — пересмотру приоритетов исправления. Алгоритм может выглядеть так:
- Картирование активов и критических процессов. Определяем, какие серверы, данные и бизнес-процессы являются наиболее ценными.
- Определение ‘коронных’ техник для вашей индустрии. Через отчёты CERT или аналитиков выясняем, какие тактики и техники ATT&CK чаще всего используются против организаций вашего профиля (финансы, промышленность, госсектор).
- Наложение контекста. Берём CVE из вашего сканирования. Для каждой, через построенный мост, смотрим на связанные техники ATT&CK.
- Если уязвимость связана с техниками, которые часто ведут к компрометации ваших критических активов (например, техники из тактики ‘Impact’ для систем управления технологическим процессом), её приоритет резко повышается.
- Если связанные техники относятся к ранней разведке и уязвимость находится на периферийном, изолированном активе, её приоритет может быть понижен, несмотря на высокий CVSS.
На выходе получается не список уязвимостей, отсортированный по баллам, а карта рисков. Где каждая ‘дыра’ оценивается не только по своей технической опасности, но и по роли, которую она может сыграть в цепочке атаки на конкретно ваш бизнес.
Интеграция в процессы ИБ и DevOps
Чтобы мост работал постоянно, а не был разовой аналитической акцией, его нужно встроить в существующие процессы.
- В SLA на исправление уязвимостей: вместо общего срока для всех ‘критических’ уязвимостей, ввести дифференцированные сроки в зависимости от связанных тактик ATT&CK и критичности затронутого актива.
- В процесс разработки (DevSecOps): результаты статического и динамического анализа кода (SAST/DAST), выявляющие уязвимости, можно автоматически обогащать данными о потенциальных техниках ATT&CK. Это помогает разработчикам лучше понимать реальные последствия багов, которые они исправляют.
- В моделирование угроз (Threat Modeling): при проектировании новой системы или сервиса рассматривать не только потенциальные уязвимости (CVE-подобные векторы), но и то, как через них могут быть реализованы техники ATT&CK. Это делает моделирование более полным и реалистичным.
- В SIEM/SOAR и системы мониторинга: создавать корреляционные правила и сценарии реагирования, которые отслеживают не только эксплуатацию известной уязвимости (по сигнатуре), но и последующие действия, характерные для техник ATT&CK, с которыми эта уязвимость связана. Это позволяет выявлять не только успешные атаки, но и попытки их развития.
Ограничения и подводные камни
Построение моста — мощный метод, но не панацея. Следует учитывать его ограничения.
Ложное чувство полноты. Не для каждой CVE существует явная или даже логически выводимая связь с ATT&CK. Некоторые уязвимости могут быть настолько специфичны или теоретичны, что не вписываются в стандартные тактики. Не стоит пытаться ‘притянуть’ связь любой ценой.
Динамичность ATT&CK. Фреймворк MITRE ATT&CK постоянно обновляется: появляются новые техники, меняются описания старых. Созданные вручную сопоставления требуют периодического ревизионного обновления.
Переоценка формальных связей. Автоматически полученная связь ‘CVE → Tactic X’ не учитывает нюансы вашего технологического стека. Уязвимость в веб-сервере может теоретически вести к выполнению кода (T1059), но если на этом сервере отключены все интерпретаторы командной строки, реальная рискованность техники резко падает. Мост даёт гипотезу, которую всегда нужно проверять против конфигурации конкретной среды.
Риск игнорирования ‘бесхитростных’ уязвимостей. Фокус на сложных цепочках ATT&CK может привести к пренебрежению простыми, но массовыми уязвимостями, которые эксплуатируются автоматически для создания бот-сетей или майнинга криптовалюты. Эти атаки могут не использовать изощрённые техники, но наносить прямой финансовый ущерб.
Итоговая ценность моста между CVE и MITRE ATT&CK — в изменении угла обзора. Он смещает фокус с бесконечной ‘охоты за заплатками’ на управление рисками, основанное на понимании поведения противника. Это превращает работу специалиста по информационной безопасности из технической в аналитическую и стратегическую. Вместо ответа на вопрос ‘Какую уязвимость закрыть следующей?’ команда начинает отвечать на вопрос ‘От какой последовательности действий злоумышленника, начинающейся с известной уязвимости, мы защищаемся в первую очередь?’. Именно этот сдвиг и делает построение такого моста не техническим упражнением, а необходимым элементом зрелой системы защиты.