Статья MITRE ATT&CK и ISO 27001: как объединить фреймворки для реальной защиты инфраструктуры

Распечатанная тепловая карта MITRE ATT&CK на плотной бумаге лежит на светлом столе рядом с перьевой ручкой. В верхнем поле — рукописная пометка чернилами, латунное пресс-папье удерживает угол листа.


По данным CrowdStrike Global Threat Report 2025, среднее время горизонтального перемещения атакующего после первичного доступа - 62 минуты. Рекорд - 51 секунда. На gap-анализе прошлого года я смотрел инфраструктуру компании с действующим сертификатом ISO 27001 и увидел знакомую картину: контроль A.8.16 (Monitoring activities) формально существовал, SIEM жевал Windows Security-логи, но ни одного правила корреляции под техники lateral movement - T1021 Remote Services, T1550 Use Alternate Authentication Material - не было. Три дня атакующий гулял по сети. Ноль алертов. Сертификат висел на стене, аудитор ставил галочку напротив A.8.16 за полгода до инцидента.

Почему контроли ISO 27001 Annex A не останавливают lateral movement​

1783536502064.webp

ISO 27001:2022 описывает 93 контроля в Annex A. Каждый формулирует требование на уровне "что должно быть сделано?" - защита аутентификации, журналирование, мониторинг активности. Ни один контроль не объясняет, какое конкретно поведение атакующего нужно обнаруживать. Стандарт работает на уровне governance: распределение ответственности, управление рисками кибербезопасности, процессное управление ISMS. Это его архитектурная задача - и он её решает.

MITRE ATT&CK решает обратную задачу: систематизирует конкретные тактики, техники и процедуры (TTPs) реальных атакующих. Матрица MITRE ATT&CK не скажет, кто отвечает за патч-менеджмент, - зато покажет, что Valid Accounts (T1078, Initial Access, Persistence, Privilege Escalation, Defense Evasion) используется для закрепления через скомпрометированные легитимные учётные записи.

Противопоставлять эти фреймворки - методологическая ошибка (и на Хабре об этом справедливо писали). Они работают на разных уровнях архитектуры безопасности. Проблема в другом: без операционного маппинга между ними контроли Annex A покрыты на бумаге, а между ними зияют пустоты, через которые проходит атакующий.

Скомпрометированные учётные записи: провал формальных контролей​

IBM X-Force Threat Intelligence Index 2025 фиксирует рост атак с использованием действительных учётных данных на 71% год к году. По данным Verizon DBIR 2025, 38% утечек связаны с кражей credentials. Контроль A.8.5 (Secure authentication) из ISO 27001:2022 требует механизмов безопасной аутентификации: MFA, парольные политики, управление сессиями. Формально это покрывает T1078 Valid Accounts. На практике - нет.

T1078 охватывает сценарии, которые A.8.5 не адресует напрямую:
  • Использование украденных токенов OAuth без пароля
  • Авторизация через данные, собранные infostealers (по IBM, infostealers - 32% всего malware в 2024)
  • Компрометация service accounts с бессрочными паролями
  • Insider threat: легитимный сотрудник, действующий за рамками baseline поведения
  • Скомпрометированные хосты, выглядящие чистыми для endpoint protection
Аудитор ISO 27001 проверит, что MFA включён и парольная политика соответствует A.8.5. Аудитор не проверит, детектирует ли SIEM аномальную геолокацию входа или активность service account в нерабочее время. Вот он - разрыв между governance и operational security.

Финансовый контекст делает этот разрыв болезненным. Российское законодательство ввело оборотные штрафы за утечку персональных данных. Сертификат ISO 27001 не спасёт, если инцидент произошёл из-за отсутствия операционного обнаружения TTPs. Формальный аудиторский чеклист и защита инфраструктуры через threat-informed defense - разные вещи.

ATT&CK mapping контролей безопасности ISO 27001: таблица покрытия​

1783536605528.webp

Ниже - маппинг ключевых технологических контролей ISO 27001:2022 на техники MITRE ATT&CK с указанием операционных пробелов. Таблица построена на основе gap-анализов для трёх организаций с действующей ISMS.

Контроль ISO 27001:2022ATT&CK-техникаТактикаЧто контроль НЕ закрывает
A.8.5 Secure authenticationT1078 Valid AccountsInitial Access, PersistenceBehavioral detection: аномальное время входа, геолокация, credential reuse
A.8.7 Protection against malwareT1027 Obfuscated Files or InformationDefense EvasionFileless-атаки, обфускация base64 в PowerShell, living-off-the-land
A.8.8 Management of technical vulnerabilitiesT1190 Exploit Public-Facing ApplicationInitial AccessРазрыв между cadence патчинга и скоростью эксплуатации
A.8.15 LoggingT1059 Command and Scripting InterpreterExecutionЛоги собираются, но без правил корреляции под PowerShell, cmd, bash
A.8.16 Monitoring activitiesT1021 Remote ServicesLateral MovementМониторинг без baseline нормального поведения RDP/SMB/WinRM
A.8.20 Networks securityT1071 Application Layer ProtocolCommand and ControlСегментация не детектирует C2 через HTTPS/DNS tunneling
A.5.7 Threat intelligenceT1566 PhishingInitial AccessThreat intel не маппится на покрытие конкретных sub-techniques

По данным Mandiant M-Trends 2025, exploits - 38% всех векторов initial access. Контроль A.8.8 задаёт процесс управления уязвимостями, но не определяет SLA на патч критических CVE. А IBM X-Force фиксирует среднее время между публикацией CVE и устранением в организации - 29 месяцев. Маппинг показывает разрыв: стандарт информационной безопасности говорит "управляйте уязвимостями", а ATT&CK показывает, что T1190 эксплуатируется за дни.

Цепочка атаки через призму маппинга​

Разберём типовую kill chain и посмотрим, где каждый контроль ISO 27001 встаёт - и где обрывается.

Initial Access - T1566 Phishing (Initial Access): письмо с ISO-вложением. Контроль A.8.7 детектирует известные сигнатуры. Sigma-правило win_security_iso_mount.yml (одно из 36 правил, тегированных T1566 в SigmaHQ, включая deprecated и кросс-платформенные) ловит монтирование ISO-файлов, но его нужно импортировать в SIEM. A.8.7 этого не требует. По Verizon DBIR 2025, фишинг остаётся вектором initial access в 36% инцидентов.

Execution - T1059 Command and Scripting Interpreter (Execution): запуск PowerShell. Контроль A.8.15 фиксирует событие только при включённом расширенном журналировании (Module Logging, Script Block Logging). Без них - слепая зона. В SigmaHQ для T1059 доступно 397 правил, включая proc_creation_win_powershell_dsinternals_cmdlets.yml.

Credential Access - T1110 Brute Force или T1552 Unsecured Credentials: извлечение учётных данных из конфигурационных файлов, скриптов, переменных окружения. Контроль A.8.5 ограничивает попытки входа, но не детектирует само извлечение credentials.

Lateral Movement - T1021 Remote Services (Lateral Movement): перемещение через RDP/SMB. Контроль A.8.16 требует мониторинга, но без baseline - что считать нормальным RDP-сеансом - любое детектирование тонет в шуме.

Command and Control - T1071 Application Layer Protocol: C2 через HTTPS. Контроль A.8.20 описывает сегментацию сетей, но не требует анализа зашифрованного трафика или JA3/JA4-fingerprinting.

Каждый контроль Annex A покрывает один срез. ATT&CK mapping контролей безопасности выявляет пустоты между этими срезами.

Gap-анализ покрытия через ATT&CK Navigator

1783536626329.webp

ATT&CK Navigator - бесплатный инструмент MITRE для визуализации покрытия техник атак. Вот процесс gap-анализа, который я использую на реальных аудитах:

Шаг 1. Создать слой (layer) с техниками, формально покрытыми контролями ISO 27001 Annex A. Пометить зелёным. Для маппинга использовать таблицу выше - или расширенный вариант из проекта MITRE CTID (Center for Threat-Informed Defense), где опубликован маппинг NIST SP 800-53 -> ATT&CK (center-for-threat-informed-defense/attack-control-framework-mappings). Для ISO 27001 потребуется промежуточная таблица соответствия ISO 27001:2022 <-> NIST 800-53, что даёт транзитивный маппинг ISO -> 800-53 -> ATT&CK.

Шаг 2. Создать второй слой с техниками, для которых в SIEM существуют работающие правила корреляции. Пометить синим.

Шаг 3. Наложить слои. Зелёные клетки без синего - контроль ISO 27001 существует, detection отсутствует. Это приоритетные задачи для SOC.

При первом наложении типичная организация с ISO 27001 показывает покрытие правилами корреляции 15-25% от заявленного покрытия контролями Annex A (по моему опыту gap-анализов). Остальные 75-85% - governance на бумаге без операционного обнаружения атак.

Пентест как валидация маппинга

ISO 27001 пентест - обычная часть аудиторского цикла. Проблема: результаты пентеста редко маппятся на конкретные ATT&CK-техники. Пентестер нашёл SQL-инъекцию - отчёт содержит CVSS и рекомендацию, но не привязку к Exploit Public-Facing Application (T1190, Initial Access) и не проверку, сработало ли правило корреляции в SIEM.

Threat-informed defense начинается, когда результаты пентеста используются для валидации маппинга:
  • Пентестер эксплуатирует T1190 - SOC должен зафиксировать алерт
  • Пентестер выполняет T1059 (Command and Scripting Interpreter) - SIEM должен поднять событие
  • Пентестер перемещается через T1021 Remote Services (RDP/SMB) - baseline lateral movement должен сработать
Если алерта нет - gap подтверждён. Если алерт есть - фиксируется как evidence для аудитора по A.8.16 и A.5.7.

D3FEND (knowledge graph защитных техник от MITRE) помогает определить конкретные контрмеры:
Каждая D3FEND-контрмера транслируется в конкретную задачу SOC: настроить правило, включить источник телеметрии, добавить enrichment.

Detection-чеклист: Sigma-правила и SIEM-корреляция для закрытия пробелов​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Чеклист пригоден для включения в отчёт по корректирующим действиям или передачи сисадмину как задание на настройку.

Большинство организаций, с которыми я работал, воспринимают маппинг ISO 27001 на MITRE ATT&CK как разовый проект: сделали таблицу, показали аудитору, забыли до следующего цикла. Это самообман того же порядка, что и "у нас есть SIEM, значит мы защищены". Матрица ATT&CK обновляется - v17.1 вышла в апреле 2025. Угрозы сдвигаются: по Mandiant M-Trends 2025, медианное время обнаружения атакующего в сети сократилось до 11 дней (исторический минимум), но 57% организаций узнают об инциденте от внешней стороны, а не от собственного SOC. Маппинг, сделанный в январе, к июлю устаревает: появляются новые sub-techniques, меняется профиль threat actors для отрасли, Sigma-правила обрастают обновлениями.

Корневая проблема: в большинстве ISMS маппинг ATT&CK не входит в цикл PDCA стандарта ISO 27001. Его делают один раз для аудита и кладут на полку. Threat-informed defense начинается там, где маппинг становится живым процессом: каждый квартал - пересмотр покрытия через Navigator, прогон Atomic Red Team тестов, фиксация результатов как доказательств для A.8.16 и A.5.7. Если SOC не может показать, что правило корреляции сработало на конкретный тест конкретной техники - контроль существует только на бумаге. Организации, которые встраивают этот цикл в ISMS, за два-три квартала поднимают реальное покрытие с 15-25% до 50-60% (по моему опыту на ограниченной выборке). Это уже не галочка для аудитора - это защита инфраструктуры. На codeby.net коллеги ведут тред с практическими playbook'ами по маппингу ATT&CK на compliance-фреймворки - если строите такой процесс, стоит сверить подходы.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab