Ну Чапек 100 лет назад описал 12 приёмов литературной дискуссии.  П.6 - imago. Но и остальная часть его "матрицы" сегодня была частично покрыта :)

Спасибо, почитаю)

это ответ Даниилу, который сделал вывод, что я за то, что атрибуция нужна

понял тебя.

вот еще мнение от Теймура Хеирхабарова

В общепринятом смысле ее вообще мало кто делает (не считая highly likely) по причине сложности и узкой применимости. В смысле, о котором тут шел спор, почему нельзя использовать также общепринятый термин TTP? Это именно то, что тут выдавали за атрибуцию, то есть определение свойств атаки (КАК). И не важно описано оно в ATT@CK или нет.

Да хоть over Diamond Model или схожую концепцию МинОбороны США

All models are wrong, but some are useful (c)

Атрибуция атак эффективна для противодействия автоматизации. На основе количества действий пользователей в ИС вычисляются группы username и IP управляемых одним ботоводом для последующей блокировки. Обобщая можно сказать, что атрибуция нужна для сдерживания угроз не имеющих гарантированного превентивного механизма. Имхо.

вощем, я чего прикопался-то с этой атрибуцией.

все дело в том что эта тема активно форсится на западе, причем всеми кому не лень. и в общем-то, довольно давно.
и не только маркетосами, дело еще и в том что вполне адекватные ребята об этом вещают.
не говоря уже о выше упомянутых курсах SANS и так далее.

вот например толк [1] Freddy Dezeure (бывш глава CERT-EU) и Richard Struse (Chief Strategist, MITRE) с RSA.
там они рассказывают про аттрибуцию по техникам MITRE. и про то что якобы можно на основе этого анализа выбрать техники которые актуальны только для специфичной компании на основе данных атрибуции, а на остальное забить (я не на 100% уверен насчет последнего, вывод только по слайдам).

ранее, в октябре, на первом ATT&CKcon, John Lambert (Distinguished Engineer, Microsoft Threat Intelligence Center) рассказывает о том как это круто и важно что вот мы все соберемся и смапим TTP всех на свете групп на матрицу. И он помимо этого очень много ДЕЙСТВИТЕЛЬНО крутых вещей задвинул.

Всего не перечислишь, я лишь привел пример адекватных ребят которые об этом говорили с пруфлинками на материал.

Я убежден что каждая группа (да и просто любой человек) выбирает наиболее легкий для него путь достижения цели (который наиболее эффективен, который он лучше знает, для которого подготовлен и тд). Но если по какой-то причине наработанный путь достижения цели будет заблокирован, это же вовсе не означает что на этом история закончится и в ход не пойдут другие, менее популярные/изученные но все же доступные способы.

Как они это себе представляют? Сидят знач русские хакеры, вдруг уперлись в невозможность юзать PtH и такие "оу. наши методы lateral movement закончились, остались только китайские. но мы же не китайцы, брат. кажется тут все, пошли водку пить, отчет тов. генералу завтра напишем".

Или что?

В тоже время, отчеты об инцидентах не отражают существующие в инфраструктуре превентивные методы защиты, реализованные контроли и тд.
Один и тот же threat actor ведет себя по разному в разных условиях, потому что условия диктуют тебе возможные действия (если ты конечно не овер богатый чел и у тебя есть 0day на каждый случай жизни).

Повторюсь что речь об аттрибуции по техникам. По специфичным тулзам и IoC оно понятно.

В общем, было круто увидеть столько схожих и логичных мнений.
В то же время мне кажется что мы что-то упускаем и чего-то не понимаем.
Я бы понял если бы вендорье что-то такое выпускало, но блин.

Единственное логичное объяснение этому факту, это то что есть возможность хоть каким-то образом обосновать связь всего этого дела с реальностью и доказать бизнесу что мол вот, есть техники, вот есть документированные примеры использования различными группировками которые атакуют банки, мы банк, знач мы в группе риска, давайте работать. И вроде работают.

Другого объяснения я найти не могу.

[1] https://www.rsaconference.com/events/us19/agenda/sessions/14753-att-ck-in-practice-a-primer-to-improve-your-cyber
[2] https://youtu.be/NVgqx7M1K20?t=2833
[3] https://medium.com/mitre-attack/building-an-attack-sightings-ecosystem-b43d52cac151

Уважаемые многоопытные коллеги!
У нас в соседнем чатике из одной невинной фразы развился  с̶р̶а̶ч̶ многочасовой интеллектуальный дискусс на тему "что суть есть 0-day уязвимость?". Звучали полярные мнения от "уязвимость, неизвестная вендору или широкой публике на момент детекта" до "уязвимость любого срока давности, но незакрытая в конкретном продукте / инсталляции конкретного заказчика", так и промежуточные "уязвимость от момента обнаружения / публикации плюс ~1 месяц для устранения".

А существует ли общепринятое мнение в профессиональной среде?

Что означает термин "0-day уязвимость"?

😁

а что за чат?
вообще это "уязвимость, неизвестная вендору или широкой публике на момент детекта".
собственно, когда она становится известной она переходит в 1-day и начинается самое веселое

Макс патрол, лучше не вникай Даня...

Зиродей, это то что можно продать зиродеуму. Началось с варезной сцены, приняло сегодня значение "аргумент для продажи страха". Приличные вендорв говорят про "PoC inthe wild". Старичье иногда любит говорить "u dont have zer0dsy, bkz u r gay"

И с несуществующими механизмами защиты от неё

В вики появление термина описано

Сам термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от неё)[2].

=> уязвимость, отрепорченная вендору (и прочим zdi, hackerone, bughunt-инициативам) через стандартную процедуру (с обязательствами по неразглашению), по которой последовал выпуск исправлений - не зиродей

=> Если вендор проигнорил и случилось full disclosure, если уязвимость ресёрчилась для себя или для продажи на черном рынке - зиродей.