Уот так уот

От так от))

Обновилась база техник атакующих MITRE ATT&CK. Кратко на фото, зеленные - новые техники, жёлтым - изменённые

https://attack.mitre.org/resources/updates/updates-april-2019/index.html

Всего то 20% изменили... И основную структуру...

О, impact наконец появился

Да, про импакт говорили уже . Но все равно не понимаю его большую пользу кроме как академической законченности всей картинки

Ну детекты соответствующие то надо как-то классифицировать

это как 3.5 Jack для наушников на всех телефонах. удобство в единой классификации для всех

Во-первых 3.5 мини Джек как придумали так почти и не меняли много лет. А тут каждый пол года вот уже четвертый год вносят "косметические" изменения ... На 20% всей классификации. Это немного усложняет процесс привода всех к "единой" классификации.

Во-вторых очень важно конечно отклассифицировать события шифрования диска после очередного криптора.

В третьих есть ощущение что это не конечный вариант. С первого взгляда выглядит странно. Я бы даже провел несколько экспериментов прям сейчас с вариантами импакта и попробовать осознать целостность классификации

В четвертых мне очень нравится митреаттцк , просто как вендор я переживаю как это все правильно реализовывать .

Владимир, таки долгое время на телефонах разъемы под наушники/гарнитуру были отнюдь не 3.5 джек, хотя последний существовал на тот момент уже достаточно давно. И не все к нему сразу пришли - были и варинты на 2.5, например. Пришли, по сути, только когда первый яблофон вышел с 3.5 под наушники. Но это лирика. Классификация, полагаю, будет меняться достаточно часто и достаточно сильно, поскольку иб в организации - отрасль с относительно невысокой зрелостью и, как следствие, возможностью регулярно продавать всем что-то новое.

по частям, как же ещё) можно вообще сделать свою идеологию и матрицы её мапинга на аттак

Вы считаете что описанные угрозы не актуальны и с ними не нужно работать?

Это точно не конечный вариант. Сегодня общался с ребятами из MITRE, узнал где блин моя техника которую я законтрибутил ещё в сентябре прошлого года (WPAD), говорят что циклы разработки, всетакое, но типо все ок, висит твоя техника в джире, реализуем вместе с остальным говном для сетевых угроз. Вообще я предлагал **тактику** новую впилить - MITM. В октябре прошлого года. Но чот закончилось ничем. Есть уйма сетевых атак которые направлены именно на нахождение по середине (как и несколько существующих техник). Но что-то им не зашло, говорят будут просто отдельную матрицу для всего сетевого говна (“all of these poisoning crap etc” (c)) как это сейчас с угрозами для мобилок

Вообще «конечная» стадия вряд ли достижима. Хорошо что айди для существующих техник не меняют, а что вам ещё надо, собственно, как вендору? (а вы вендор какого продукта, btw?)

Самого лучшего российского сиема