Кстати, ирония, но на реальных объектах надо защищать и ит и от..

Это может расстроить только неграмотных. Условному атакеру наплевать на разделение техник, он пользуется тем чем ему удобно. Значит и зашитнику это все надо видеть Вместе

К слову, раз уж мы заговорили о старине Ли и сотоварищах, решил я перечитать The ICS Threat Landscape, а то тут все время говорят о бумажках каких-то да специфических протоколах, а оказалось что:
HEXANE - випонизированные документы в почте
PARASITE - уязвимости VPN и опенсорсный пентестерский хлам
MAGNALLIUM - снова фишинг и пассворд спрэинг и вайперы, могут вообще не добраться до ОТ
WASSONITE - снова фишинг, DTrack и стандартный набор для продвижения и прочего
XENOTIME - Trisis, Cobalt Strike и всего скорее тоже фишинг
DYMALLOY - снова ИТ и пара троев
ALLANITE - вообще watering hole + PowerShell, пассворд дамперы и PsEsec в ходе пост-эксплуатации (yes, again)
CHRYSENE - опять фишинг и уотерин хол
RASPITE - раты, которые тоже всего скорее были доставлены схожими способами
Не говоря уже об атаках через какой-нить брут RDP (привет, REvil) или commodity malware (привет, Ryuk)
Где ваши протоколы то? Или принято детектить на последней стадии киллчейна? Так там и без средств защиты можно задетектить, когда все упадет)

Ну остается надеяться тогда на ровную реализацию этого объединения, иначе жуткий монстр Франкенштейна может выйти.

Maybe EKANS?

Взять например Triton. Всю операцию разделили на две матрицы. Невнимательный защитник это может упустить из виду

Вот его техники в Enterprise
https://attack.mitre.org/groups/G0088/

А вот его техники в ICS
https://collaborate.mitre.org/attackics/index.php/Group/G0001

Мне он у красноглазых нравится: https://www.fireeye.com/blog/threat-research/2019/04/triton-actor-ttp-profile-custom-attack-tools-detections.html

Не надо боятся объема базы данных. Чем подробнее, тем лучше

На основе этого отчета и сделан профиль в MITRE ATT&CK for Enterprise. В этом прелесть ATT&CK. Они разные "художественные" TI отчёты приводят к единому читаемому виду

Common language)

Так а почему здесь никто не обсуждает техники и в целом какие-то TTPs?

Давно не является секретом. Хочешь быть заметным в индустрии. Вводи свою систему имен для существующих групп/операций/малвары. Ну да ваша компания этим тоже умело пользуется 🙂

Да-да, я знаю, что все Карбанак) Но я не из интела, так что ничего не знаю)

Мне одному показалось, что datapk прямо очень выгодно смотрится на фоне KICS isim?))

Объем базы не пугает, но и стоит осознавать, что с расширением сильно меняется порог вхождения в ее понимание

Кроме умения работать с копией трафика общее у продуктов заканчивается, прямое сравнение в лоб не совсем правильно)