Аттестация по ИБ | 21 октября 2025

Моделирование угроз для аттестации: как использовать матрицу MITRE ATT&CK для выполнения требований ОАЦ

Моделирование угроз для аттестации: как использовать матрицу MITRE ATT&CK для выполнения требований ОАЦ

Аттестация систем защиты информации по требованиям Оперативно-аналитического центра при Президенте Республики Беларусь (ОАЦ) — это не просто формальная процедура сбора документов. Это комплексный процесс, требующий создания реальной, работающей и, что самое главное, практичной модели угроз. Многие организации сталкиваются с тем, что их модели угроз превращаются в "бумажную" формальность, оторванную от реальной инфраструктуры и настоящих киберрисков.

В этой статье мы подробно разберем, как использовать всемирно признанную матрицу MITRE ATT&CK для построения модели угроз, которая не только полностью удовлетворит требованиям регулятора, но и станет живым, дышащим инструментом для защиты вашей IT-инфраструктуры. Мы пройдем путь от теоретических требований законодательства до конкретных сценариев атак и практических советов, которые помогут вам произвести впечатление даже на самого строгого аудитора.

Требования ОАЦ РБ к модели угроз: что нужно знать

С декабря 2024 года в Беларуси начали действовать обновленные требования к защите информации, утвержденные приказом ОАЦ № 259. Эти изменения затронули ключевые документы: Положение о порядке технической и криптографической защиты информации и Положение о порядке аттестации систем защиты информации. Основной посыл регулятора — переход от формального соответствия к построению реально работающей системы безопасности.

Кому необходима аттестация и модель угроз?

Обязательной аттестации подлежат информационные системы (ИС), в которых обрабатывается информация ограниченного распространения. К таким системам относятся те, что работают с:

  • Персональными данными (классы 4-ин, 4-спец, 4-бг, 3-ин, 3-спец, 3-бг)
  • Служебной информацией ограниченного распространения (классы 4-дсп, 3-дсп)
  • Коммерческой и иной охраняемой законом тайной (классы 4-юл, 3-юл)
  • Информацией государственных информационных систем (классы 5-гос, 6-гос)

Для успешного прохождения аттестации организация должна разработать целый пакет документов, ядром которого является именно модель угроз. Вот основной перечень:

  • Политика информационной безопасности: Верхнеуровневый документ, определяющий цели, задачи и принципы защиты информации.
  • Акт классификации информации: Документ, в котором определяется, какие типы данных обрабатываются в системе и какой у них уровень конфиденциальности.
  • Акт отнесения ИС к классу типовых систем: Классификация системы согласно стандарту СТБ 34.101.30-2017.
  • Модель угроз безопасности информации: Систематизированное описание актуальных угроз, их источников и возможных сценариев реализации.
  • Техническое задание на создание системы защиты: Конкретные требования к функциям и параметрам средств защиты информации (СЗИ).
  • Общая схема системы защиты: Архитектурное описание защитных мер.
  • Организационно-распорядительные документы: Внутренние регламенты, инструкции и политики по использованию СЗИ.

Что должна содержать модель угроз по требованиям ОАЦ?

Методология, применяемая ОАЦ, во многом перекликается с подходами ФСТЭК России. Согласно этим требованиям, качественная модель угроз должна включать следующие разделы:

  • Описание негативных последствий: Детальный анализ потенциального ущерба, который может быть нанесен физическим лицам, организации или государству в случае успешной атаки.
  • Инвентаризация и описание объекта защиты: Подробная схема IT-инфраструктуры, описание информационных потоков, перечень всех компонентов системы и их расположение.
  • Модель нарушителя: Описание потенциальных источников угроз (внешних и внутренних), их мотивации, уровня знаний, доступных инструментов и возможных путей доступа к системе.
  • Перечень актуальных угроз: Список угроз, которые релевантный для конкретной системы с учетом ее архитектуры, технологий и бизнес-процессов.
  • Способы реализации угроз: Описание методов и техник, которые может использовать нарушитель.
  • Сценарии реализации угроз: Пошаговое описание последовательности действий атакующего, от точки входа до достижения конечной цели.
  • Меры противодействия: Перечень организационных и технических мер, направленных на предотвращение или обнаружение угроз.

Почему классические модели угроз остаются «бумажными»?

На практике большинство моделей угроз, создаваемых исключительно для "галочки", страдают от одних и тех же фундаментальных проблем, которые делают их бесполезными в реальной работе.

Проблема №1: Абстрактность и отсутствие практической привязки
Типичная модель угроз оперирует размытыми формулировками вроде: "Возможно нарушение конфиденциальности, целостности или доступности информации в результате несанкционированного доступа". Эта фраза не несет никакой практической ценности. Она не отвечает на вопросы: кто может получить доступ, как он это сделает, к какой именно информации и с помощью каких инструментов? В итоге, такая модель не помогает выстроить эффективную защиту.

Проблема №2: Устаревший подход к классификации нарушителей
Традиционная классификация делит нарушителей на категории по уровню знаний (низкий, средний, высокий) и типу доступа (внутренний, внешний). Однако она совершенно не описывает их реальное поведение (TTPs — Tactics, Techniques, and Procedures). Сегодня даже нарушитель с "низким потенциалом", вооруженный публично доступными инструментами из GitHub, может представлять серьезную угрозу, если система имеет известные уязвимости.

Проблема №3: Отсутствие связи между угрозами и защитными мерами
Часто модель угроз существует в одном документе, а техническое задание на систему защиты — в другом, и логическая связь между ними теряется. Угрозы описаны абстрактно, а меры защиты выбираются по принципу "чтобы было". Это приводит либо к недостаточной защите от реальных рисков, либо к внедрению дорогостоящих и избыточных систем, которые не решают актуальных задач.

Проблема №4: Невозможность актуализации
Киберугрозы эволюционируют с невероятной скоростью. Новые техники атак появляются еженедельно. Классическая модель угроз — это статичный документ, который создается один раз для аттестации и пылится на полке до следующей проверки через несколько лет. За это время она полностью теряет свою актуальность.

Матрица MITRE ATT&CK: Структура и применение

Решением перечисленных проблем является переход на современный, практико-ориентированный подход. И здесь на помощь приходит MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) — это глобальная, общедоступная база знаний о тактиках и техниках злоумышленников, основанная на анализе тысяч реальных кибератак.

Структура матрицы: тактики, техники и подтехники

Матрица построена по логике действий атакующего. Она отвечает на вопрос: "Что делает злоумышленник для достижения своей цели?".

  • Тактики (Tactics): Это высокоуровневые цели, которые преследует атакующий на каждом этапе атаки. В корпоративной матрице (Enterprise ATT&CK) их 14:
    • Reconnaissance (Разведка): Сбор информации о цели.
    • Resource Development (Подготовка ресурсов): Создание инфраструктуры для атаки (например, покупка доменов).
    • Initial Access (Первоначальный доступ): Проникновение в сеть.
    • Execution (Выполнение): Запуск вредоносного кода.
    • Persistence (Закрепление): Обеспечение постоянного доступа к системе.
    • Privilege Escalation (Повышение привилегий): Получение прав администратора.
    • Defense Evasion (Обход защиты): Отключение антивирусов, фаерволов.
    • Credential Access (Доступ к учетным данным): Кража паролей, токенов, ключей.
    • Discovery (Исследование): Изучение внутренней сети и ее структуры.
    • Lateral Movement (Боковое перемещение): Распространение по сети с одного компьютера на другой.
    • Collection (Сбор данных): Поиск и агрегация ценной информации.
    • Command and Control (Управление и контроль): Связь с управляющим сервером.
    • Exfiltration (Эксфильтрация): Вывод украденных данных из периметра.
    • Impact (Воздействие): Шифрование данных, их удаление, нарушение работы систем.
  • Техники (Techniques): Это конкретные способы реализации тактических целей. Например, для тактики "Первоначальный доступ" (Initial Access) существует 9 техник, включая Фишинг (T1566), Эксплуатацию публичных приложений (T1190) и Компрометацию цепочки поставок (T1195).
  • Подтехники (Sub-techniques): Это еще более детальное описание методов. Например, техника "Фишинг" (T1566) делится на подтехники:
    • T1566.001 — Spearphishing Attachment (Целевой фишинг с вредоносным вложением)
    • T1566.002 — Spearphishing Link (Целевой фишинг со ссылкой на вредоносный сайт)
    • T1566.003 — Spearphishing via Service (Фишинг через мессенджеры или соцсети)

На сегодняшний день матрица ATT&CK содержит 201 технику и 424 подтехники, а также детальную информацию о 135 хакерских группировках и 718 вредоносных программах и инструментах.

Что делает MITRE ATT&CK особенной?

  • Основана на реальных атаках: Каждая техника в матрице подтверждена отчетами о реальных инцидентах.
  • Постоянно обновляется: Глобальное сообщество исследователей и компаний непрерывно пополняет базу новыми данными.
  • Содержит практические рекомендации: Для каждой техники описаны методы ее обнаружения (Detection) и противодействия (Mitigations).
  • Поддерживается производителями: Большинство современных SIEM, EDR, XDR и других решений ИБ интегрированы с ATT&CK, что позволяет "из коробки" настраивать правила обнаружения.
  • Предоставляет общий язык: ATT&CK стала международным стандартом, который позволяет специалистам по ИБ из разных компаний и стран говорить на одном языке.

Сопоставление MITRE ATT&CK и требований ФСТЭК/ОАЦ

Методика оценки угроз ФСТЭК России, которая близка к подходам ОАЦ РБ, содержит свой собственный каталог тактик и техник нарушителей. Однако этот перечень значительно уступает MITRE ATT&CK по объему, детализации и актуальности.

Экспертное сообщество предлагает несколько подходов для совместного использования двух каталогов:

  • Анализ по MITRE с адаптацией для регулятора. Вы проводите полный анализ угроз с использованием матрицы ATT&CK, подбираете релевантные меры защиты и обнаружения из ее базы знаний, а при оформлении итогового документа для аудитора просто заменяете коды техник MITRE на наиболее близкие по смыслу коды из каталога регулятора.
  • Основа ФСТЭК/ОАЦ с дополнением из MITRE. Вы начинаете с каталога регулятора, но дополняете его теми специфическими техниками из ATT&CK, аналогов которым нет. При этом для всех техник (и из каталога регулятора, и из ATT&CK) вы используете детальные рекомендации по обнаружению и противодействию от MITRE.
  • Гибридная модель (рекомендуемый подход). Вы формально следуете структуре, требуемой регулятором, но в описании каждого сценария атаки указываете соответствие техникам из обоих каталогов (например, "Угроза УБИ.123, соответствует MITRE T1566.001"). Это демонстрирует аудитору глубину вашей проработки и позволяет использовать всю мощь и детализацию ATT&CK для практической реализации защиты.

Для упрощения этой задачи существуют публичные таблицы соответствия техник ФСТЭК и MITRE ATT&CK, подготовленные экспертами в области ИБ.

Пошаговая инструкция: от матрицы к реальной модели угроз

Давайте пройдем весь путь создания модели угроз на основе MITRE ATT&CK.

Шаг 1. Определение целей защиты и негативных последствий

Начните не с угроз, а с бизнеса. Что именно вы защищаете и чего боитесь больше всего?

  • Идентифицируйте критичные бизнес-процессы: Что приносит вашей компании деньги, обеспечивает репутацию, является требованием законодательства?
  • Определите критичные информационные активы: Базы данных клиентов, финансовая отчетность, интеллектуальная собственность, персональные данные сотрудников.
  • Опишите конкретные негативные последствия: Вместо абстрактной "утечки данных" используйте конкретные формулировки.
    • Пример: "Реализация угрозы несанкционированного доступа к базе данных CRM приведет к утечке персональных данных 50 000 клиентов, что повлечет за собой регуляторные штрафы до 100 000 рублей, судебные иски от пострадавших и репутационный ущерб с прогнозируемой потерей до 30% клиентской базы".

Шаг 2. Инвентаризация и анализ инфраструктуры

Невозможно защитить то, о чем вы не знаете. Проведите детальную инвентаризацию вашей информационной системы.

  • Составьте перечень компонентов: Серверы (физические, виртуальные, облачные), рабочие станции, сетевое оборудование (маршрутизаторы, коммутаторы), СХД, СУБД, приложения и сервисы.
  • Определите информационные потоки: Как данные перемещаются между компонентами, где хранятся, где обрабатываются, кто имеет к ним доступ.
  • Выявите точки входа (интерфейсы): Все места, где ваша система соприкасается с внешним миром: веб-сайты, API, почтовые серверы, VPN-шлюзы, Wi-Fi сети, физический доступ.

Шаг 3. Построение модели нарушителя

Определите, кто реалистично может атаковать вашу компанию.

  • Внешний нарушитель:
    • Низкий потенциал: Использует общедоступные инструменты (сканеры уязвимостей, эксплойты с GitHub), атакует "по площадям", ищет легкие цели.
    • Средний потенциал: Целенаправленно атакует вашу компанию, может адаптировать или создавать простые инструменты, обладает глубокими знаниями. Это могут быть киберпреступные группировки или конкуренты.
  • Внутренний нарушитель:
    • Непреднамеренный: Сотрудник, который случайно открыл фишинговое письмо или допустил ошибку в конфигурации.
    • Преднамеренный: Обиженный сотрудник или инсайдер, который целенаправленно хочет нанести ущерб или украсть данные.

Для большинства коммерческих организаций наиболее актуальными являются внешний нарушитель с низким/средним потенциалом и внутренний нарушитель. Нарушитель с высоким потенциалом (профессиональные APT-группировки, спецслужбы) актуален в основном для объектов критической информационной инфраструктуры.

Шаг 4. Выбор релевантных тактик и техник из MITRE ATT&CK

Это сердце всего процесса. Как из 200+ техник выбрать актуальные для вас?

  • Метод 1: Анализ угроз для вашей отрасли. Изучите отчеты по кибербезопасности (от Positive Technologies, Kaspersky, Group-IB) для вашего сектора (финансы, ритейл, промышленность). Определите, какие хакерские группировки атакуют вашу отрасль, и посмотрите в базе MITRE, какие техники (TTPs) они используют.
  • Метод 2: Анализ на основе архитектуры. Пройдитесь по компонентам вашей системы и определите применимые техники.
    • Есть веб-приложение? Актуальны T1190 (Exploit Public-Facing Application), T1078 (Valid Accounts).
    • Сотрудники работают с почтой? Актуальна T1566 (Phishing).
    • Используете Active Directory? Актуальны T1003 (Credential Dumping), T1021 (Remote Services).
  • Метод 3: Использование MITRE ATT&CK Navigator. Это бесплатный веб-инструмент, который позволяет визуализировать матрицу. Вы можете создать "слои", выделяя цветом актуальные для вас техники, отмечая те, от которых у вас уже есть защита, и те, где есть пробелы (gaps).

Шаг 5. Построение реалистичных сценариев атак (Attack Chains)

Сценарий атаки — это логическая цепочка техник, которую применяет злоумышленник для достижения цели.

Пример сценария №1: Атака программы-вымогателя (Ransomware)

  • Цель: Шифрование данных на файловом сервере для получения выкупа.
  • Последовательность действий (Kill Chain):
    • Initial Access (T1566.002 - Spearphishing Link): Бухгалтер получает письмо якобы от налоговой со ссылкой на "сверку документов".
    • Execution (T1204.001 - Malicious Link): Сотрудник переходит по ссылке, скачивает и запускает замаскированный под документ исполняемый файл.
    • Defense Evasion (T1027 - Obfuscated Files): Вредоносный код обфусцирован (запутан), чтобы обойти сигнатурный анализ антивируса.
    • Discovery (T1083 - File and Directory Discovery): Программа сканирует локальные диски и сетевые папки в поиске ценных файлов (.doc, .xls, .pdf, .db).
    • Lateral Movement (T1021.002 - SMB/Windows Admin Shares): Используя уязвимость или подобранный пароль, вредонос распространяется на файловый сервер через протокол SMB.
    • Impact (T1486 - Data Encrypted for Impact): Программа-вымогатель шифрует все найденные файлы на сервере и оставляет записку с требованием выкупа.

Шаг 6. Оценка актуальности угроз

Теперь, когда у вас есть сценарии, оцените их реалистичность. Угроза считается актуальной, если:

  • Существует хотя бы один реалистичный сценарий ее реализации.
  • В вашей системе есть необходимые для этого сценария уязвимости или недостатки конфигурации.
  • Сценарий соответствует возможностям вашего актуального нарушителя.
  • Реализация угрозы приведет к значимым негативным последствиям, определенным на Шаге 1.

Шаг 7. Связывание угроз с мерами защиты

Для каждой актуальной техники из вашего списка MITRE ATT&CK предоставляет два важнейших раздела: Mitigations (Меры противодействия) и Detection (Методы обнаружения).

  • Использование раздела Mitigations:
    • Для техники T1566 (Phishing) MITRE рекомендует: M1017 (User Training - обучение пользователей), M1049 (Antivirus/Antimalware), M1021 (Restrict Web-Based Content).
    • Вы сопоставляете эти рекомендации с мерами защиты, которые уже внедрены или планируются к внедрению, и связываете их с требованиями ОАЦ.
  • Использование раздела Detection:
    • Для техники T1003.001 (LSASS Memory - кража паролей из памяти) MITRE указывает источники данных для обнаружения: мониторинг процессов (Process monitoring) и логи Windows.
    • Эта информация бесценна для настройки вашей SIEM-системы. Вы понимаете, какие события нужно собирать, какие правила корреляции писать и какие use-cases разрабатывать для вашего центра мониторинга (SOC).

Инструменты для работы с MITRE ATT&CK

MITRE ATT&CK Navigator

  • Веб-инструмент для визуализации и анализа матрицы

  • Создание кастомных слоев с приоритизацией техник

  • Экспорт в JSON, SVG, Excel для документации​

DeTT&CT (Detect Tactics, Techniques & Combat Threats)​

  • Инструмент для оценки покрытия техник средствами обнаружения

  • Помогает определить gaps в detection capabilities

  • Интеграция с MITRE ATT&CK Navigator для визуализации​

ATT&CK Workbench

  • Позволяет создавать собственные расширения матрицы

  • Удобно для документирования отраслевых или организационных особенностей

Локализованная матрица от Positive Technologies

  • Полный перевод матрицы на русский язык

  • Удобна для работы с русскоязычными командами

Таблицы соответствия ФСТЭК-MITRE

  • Опубликованные сообществом таблицы соответствия техник

  • Упрощают интеграцию с требованиями российского и белорусского регуляторов

Типичные ошибки и как их избежать

Ошибка 1: Попытка охватить все техники сразу

❌ Неправильно: "Все 200+ техник MITRE актуальны для нашей системы"

✅ Правильно: Начните с 15-20 наиболее критичных техник для вашей отрасли. Постепенно расширяйте покрытие.​

Ошибка 2: Копирование описаний из MITRE без адаптации

❌ Неправильно: Дословное копирование англоязычных описаний техник

✅ Правильно: Адаптируйте описания под вашу инфраструктуру с конкретными примерами

Ошибка 3: Отсутствие связи с реальной инфраструктурой

❌ Неправильно: "Возможна атака через технику T1190"

✅ Правильно: "Атака через T1190 возможна на веб-приложение управления заказами (app.company.by), развернутое на сервере WEB-01, так как отсутствует WAF и не проводилось тестирование на проникновение"

Ошибка 4: Игнорирование процедур обнаружения

❌ Неправильно: Описать только угрозы и меры защиты

✅ Правильно: Для каждой техники указать, как она будет обнаружена: источники данных, правила SIEM, алерты EDR​

Ошибка 5: Статичная модель угроз

❌ Неправильно: Разработать модель один раз для аттестации и забыть

✅ Правильно: Установить процесс регулярного пересмотра и актуализации (ежеквартально)​

Практические советы: как впечатлить аудитора

  • Визуализируйте покрытие угроз. Используйте MITRE ATT&CK Navigator, чтобы создать "тепловую карту" вашей защиты. Зеленым отметьте техники, которые вы можете и предотвратить, и обнаружить. Желтым — те, что можете только обнаружить. Красным — актуальные угрозы, от которых у вас пока нет защиты. Это наглядно демонстрирует зрелость вашего подхода.
  • Создайте таблицу соответствия. В одном месте сведите информацию: Угроза (техника ATT&CK) → Сценарий → Мера защиты → Средство обнаружения → Статус внедрения.
  • Ссылайтесь на реальные кейсы. Обосновывайте актуальность угроз, ссылаясь на отчеты об атаках в вашей отрасли. "Согласно отчету X, 70% атак на наш сектор используют технику Y. В нашей модели эта тактика закрыта мерами A, B и C".
  • Покажите, что модель — живой документ. Продемонстрируйте журнал изменений модели, объясните, что она пересматривается ежеквартально с учетом обновлений ATT&CK и появления новых угроз.
  • Интегрируйте модель в процессы ИБ. Покажите, что техники из модели используются для проведения киберучений (Red Team/Blue Team), а также для оценки рисков новых IT-проектов.

Переход от формальной "бумажной" модели угроз к живому инструменту на основе матрицы MITRE ATT&CK — это качественный скачок в зрелости системы информационной безопасности. Такой подход позволяет не только успешно пройти аттестацию ОАЦ, но и построить реально работающую, эшелонированную и умную защиту.

Вы начинаете говорить на одном языке с мировым сообществом ИБ, обоснованно выбирать средства защиты, эффективно настраивать системы мониторинга и, в конечном счете, превращаете модель угроз из пыльного документа в основу стратегии кибербезопасности вашей компании. Это модель, которая впечатлит не только аудитора, но и реально защитит ваш бизнес.

Образец модели угроз, можно скачать по ссылке >>> Модель угроз (.pdf, 196 КБ) 

ОАЦ аттестация

Как вам статья?

По теме
Создание SOC в Республике Беларусь в 2026 году: Стратегический путеводитель и архитектура будущего
Квест ОАЦ: Полное руководство по получению лицензии на ТЗИ в Беларуси
Лицензионная ловушка ОАЦ: Почему ваш диплом не дает права делать пентест
Аудит ОАЦ: Инсайды от пентестера. Как отвечать на каверзные вопросы аудитора и не "завалить" аттестацию
Про ИБ в Беларуси

ТГ-канал "RedSec.Belarus"

Перейти
Следующий пост

От фишинга до захвата домена: Детальный разбор атаки на белорусскую компанию

Детальный разбор реальной кибератаки на белорусскую компанию. От фишинга до захвата домена за 8 часов: техники, ошибки администраторов и рекомендации по защите AD.

22 октября 2025