Матрица покрытия
Матрица MITRE ATT&CK показывает покрытие техник решениями "Лаборатории Касперского". Покрытие считаем в двух разрезах:
- Глубина – насколько хорошо техника детектируется решением;
- Ширина – какая доля техник покрывается решениями с любым уровнем глубины.
Для каждого из способов учитываются две метрики:
- Покрытие правилами – как много правил в решении позволяют обнаружить выполнение техники.
- Оценка возможностей решения – насколько хорошо подходит решение для обнаружения техники.
Покрытие правилами
Количество правил может сильно отличаться как между решениями, так и между техниками, которые они покрывают. В разных случаях требуется разное количество правил, чтобы у конкретного решения была возможность определить все варианты покрытия той или иной техники. В некоторых ситуациях качественного преимущества множества правил над одним может не быть. Поэтому при расчете показателя мы учитываем не само число, а вычисляем глубину с учетом возможностей конкретного решения.
Оценка возможностей решения
Оценивает потенциал решения в определении конкретной техники с учетом его назначения, области видимости и функциональных особенностей. Например, для техники T1003 "OS Credential Dumping" (Получение дампа учетных данных) EDR имеет высокий потенциал благодаря тому, что отслеживает взаимодействие с процессами. У NDR потенциал определения той же техники ниже, так как его область видимости – сетевая активность.
Возможности решения по определению конкретной техники оцениваются в рамках шкалы:
- 0.0 – вне области видимости;
- 0.3 – минимальная видимость;
- 0.7 – частичная видимость;
- 1.0 – высокая видимость.
Особенности SIEM (KUMA)
При расчете предполагается, что логи от EDR, NDR и Sandbox не поступают в KUMA, чтобы отдельно показать вклад этих решений.
Покрытие в глубину
Итоговое значение рассчитывается из комбинации параметров по покрытию правилами и по оценке возможностей решения. К результату применяется нормализация и приведение к шкале от 0.0 до 1.0. Для визуализации конкретного уровня градиента, значение определяется умножением итогового результата на 8. Процент глубины показывает, насколько хорошо техники закрываются решением.
Покрытие в ширину
Ширина определяется, как бинарная оценка каждой техники. Если в решении есть хотя бы одно правило для определения техники, значение равно 1. Если ни одного правила нет – 0. Процент ширины показывает долю техник, для которых в решении есть правила.
На странице Матрица покрытия MITRE ATT&CK решениями "Лаборатории Касперского" вы можете проанализировать эффективность выбранных решений в обнаружении и покрытии конкретных техник, которые используют злоумышленники. Матрица MITRE ATT&CK содержит информацию об известных тактиках и техниках, а также их классификацию в рамках платформы. Тактика – цель, к которой стремится злоумышленник. Техника – действия, которые выполняет злоумышленник для достижения цели. Подтехника – метод, с помощью которого злоумышленник реализует конкретную технику.
В верхней части страницы отображается общий процент покрытия. Вы можете выбрать следующие решения "Лаборатории Касперского", чтобы узнать, как они противодействуют конкретным техникам:
- KUMA – Kaspersky Unified Monitoring and Analysis Platform (KUMA), центральный элемент вашей системы безопасности.
- NDR – Kaspersky Anti Targeted Attack (KATA), комплексное решение для защиты от сложных и целевых атак с технологиями NDR.
- Sandbox – Kaspersky Anti Targeted Attack (KATA), комплексное решение для защиты от сложных и целевых атак с компонентом Kaspersky Sandbox.
- EDR – Kaspersky EDR Expert, обеспечивающий эффективную защиту конечных устройств от сложных и целевых атак.
Когда вы впервые открываете страницу Матрица покрытия MITRE ATT&CK решениями "Лаборатории Касперского", по умолчанию выбраны все доступные решения и отображается максимальный процент покрытия. Отображение матрицы и процент покрытия обновляются в режиме реального времени на основе вашего выбора.
Вы можете нажать на решение, чтобы выбрать его или отменить выбор. Не выбранные решения отмечены значком ракеты (
). Подбирая интересующие вас сочетания решений, вы можете моделировать различные сценарии безопасности и планировать защиту в соответствии с платформой MITRE ATT&CK.
В центре страницы расположено визуальное отображение матрицы MITRE ATT&CK. Каждая ячейка техники имеет цветовую кодировку, чтобы показать уровень покрытия (до 8) выбранными решениями.
Для каждой покрытой техники во всплывающих подсказках отображается следующая информация:
- Список решений, в которых есть технологии для выявления техники, и которые были выбраны в фильтре Решения.
- Список решений, которые не были выбраны в фильтре Решения, но в которых также есть технологии для обнаружения той или иной техники. При подключении этих решений уровень покрытия техники повысится.
- Для всех решений в подсказке выводится численное значение глубины, с которой решение покрывает технику. Это значение учитывает как технологии выявления техники решением, так и количество реализованных правил обнаружения.
В матрице MITRE ATT&CK вы можете выполнять следующие действия:
- Просмотреть дополнительную информацию о технике или подтехнике, нажав на значок
. - Просмотреть список подтехник для конкретной техники, нажав на значок
. При этом также будет отображаться общее количество связанных подтехник и количество подтехник, покрываемых выбранными решениями "Лаборатории Касперского". - Перейти на страницу с подробной информацией о тактике или технике, нажав на соответствующий элемент матрицы.
- Скрыть техники, не покрытые выбранными решениями "Лаборатории Касперского", нажав на значок
, или отобразить все техники, нажав на значок 
. - Развернуть подтехники, нажав на значок
, или свернуть подтехники, нажав на значок 
. - Просмотреть матрицу в полноэкранном режиме, нажав на значок
.
Пользователи с премиум-доступом к Kaspersky Threat Intelligence Portal могут создать для своей организации ландшафт угроз, отображаемый в матрице MITRE ATT&CK. Вы можете запросить демонстрационный доступ к функции Ландшафта угроз, нажав на кнопку Разблокировать для вашей компании. Вы также можете посмотреть демонстрационный видеоролик о функции Ландшафт угроз в премиум-версии Kaspersky Threat Intelligence Portal, нажав на стрелку рядом с кнопкой и выбрав пункт Посмотреть демо.