Рекомендации по выставлению риск-балла и точности
На данный момент не существует единой общепринятой системы оценки риск-баллов для техник MITRE ATT&CK. Представленная ниже рекомендация основана на анализе потенциального воздействия техник на информационные активы и может быть адаптирована в соответствии с особенностями конкретной инфраструктуры и угроз.
Выставление риск-балла
Критерии оценки
Для оценки уровня угрозы используется система риск-баллов, назначаемых технике на основе ее потенциального воздействия на конфиденциальность, целостность и доступность информационных активов.
Шкала оценки
- Низкий риск (1-3 балла): техники разведки и сбора информации (тактики Discovery)
- Средний риск (4-6 баллов): техники получения доступа, выполнения кода, повышения привилегий и обеспечения устойчивости
- Высокий риск (7-9 баллов): техники, напрямую ведущие к значительному ущербу: компрометации критичных учетных данных, шифрованию или уничтожению данных
Примеры техник с присвоенными риск-баллами
| Техника ATT&CK | Название | Присвоенный риск-балл | Краткое обоснование |
|---|---|---|---|
| T1200 | Hardware Additions | +5 | Неавторизованное подключение оборудования создает точку обхода защитных механизмов. |
| T1059 | Command and Scripting Interpreter | +2 | Стандартная функциональность, часто используемая злоумышленниками; базовый риск. |
| T1003.001 | OS Credential Dumping: LSASS Memory | +9 | Прямое извлечение учетных данных, ведущее к полной компрометации. |
| T1560 | Archive Collected Data | +4 | Подготовка данных к эксфильтрации, указывающая на продвинутую стадию атаки. |
Логика начисления
Риск-балл является статическим весом техники и определяется ее ролью в кибератаке. Техники воздействия (Impact) и компрометации учетных данных (Credential Access) получают наивысшие баллы, тогда как техники обнаружения (Discovery) оцениваются ниже. Данные веса предназначены для первичной оценки серьезности инцидента и его приоритезации.
Выставление точности
Назначение
Определяет, насколько точно правило детектирования или сигнал указывает именно на злонамеренную активность, а не на штатную деятельность.
Шкала достоверности
| Уровень достоверности | Числовое значение | Критерии оценки |
|---|---|---|
| Высокая достоверность | 1.0 | Срабатывание практически однозначно указывает на вредоносную активность. Характерно для сигнатур известного вредоносного ПО, детектирования эксплуатации публичных уязвимостей с надежными IOC. Уровень ложных срабатываний минимален. |
| Средняя достоверность | 0.75 | Сильное подозрение на атаку, но требуется дополнительная проверка. Типично для системных утилит, запущенных с необычными параметрами, или же для действий, похожих на методы известных кибергрупп. Уровень ложных срабатываний умеренный. |
| Низкая достоверность | 0.5 | Действие является подозрительным, но имеет высокую вероятность быть штатным. Например, единичный запуск системных утилит (ipconfig) без иного контекста. Уровень ложных срабатываний высокий. |