Последние два года я провожу debriefing-сессии с SOC-командами после каждого Red Team engagement. Статистика грустная: в трёх случаях из четырёх Blue Team не может конвертировать полученный отчёт в детекшн-правила. Мы отдаём PDF со скриншотами Cobalt Strike и списком скомпрометированных хостов, а защитники получают голый факт - «оператор получил domain admin за 4 дня». Без ответа на главный вопрос: через какие конкретно TTPs прошла цепочка и где SIEM должен был сработать. По данным CrowdStrike Global Threat Report 2025, среднее время lateral movement после initial access - 62 минуты. Рекорд - 51 секунда. У Blue Team нет времени разгребать нестандартные отчёты. Им нужна карта атакующего поведения в терминах MITRE ATT&CK, а не артефакты без контекста.
Почему классический пентест-отчёт не конвертируется в защиту
Стандартный формат документирования результатов пентеста заточен под уязвимости: CVE-идентификатор, severity, затронутые хосты, рекомендация по патчу. Для compliance - хватает. Для реального улучшения детекшн-возможностей - нет.Разрыв между тем, что документирует Red Team, и тем, что нужно Blue Team, выглядит так:
| Параметр | Классический отчёт | TTP-based red team отчёт |
|---|---|---|
| Фокус | Уязвимости и риски | Поведение атакующего |
| Язык | CVE, CVSS, severity | ATT&CK ID, тактика, техника |
| Выгодоприобретатель | CISO, аудитор | SOC-аналитик, threat hunter |
| Actionable для Blue Team | Частично (патч, конфигурация) | Да (детекшн-правила, логирование, контрмеры) |
| Бизнес-контекст | Severity не равно бизнес-риск | Привязка к kill chain и бизнес-процессам |
Когда в отчёте написано «обнаружена возможность выполнения OS Credential Dumping (T1003, Credential Access) на контроллере домена» - Blue Team получает конкретную точку для построения детекции: мониторинг обращений к lsass.exe, Sigma-правила из SigmaHQ, понимание тактики. Когда написано «извлечены хеши паролей из памяти» - защитники получают факт без маршрута к действию. Почувствуйте разницу.
Цифры подтверждают масштаб. Согласно IBM X-Force Threat Intelligence Index 2025, рост атак с использованием действительных учётных данных - 71% год к году, а на dark web ежедневно появляется около 6000 свежих пар credentials. По данным Mandiant M-Trends 2025, медианное время обнаружения злоумышленника в сети - 11 дней, причём 57% организаций узнают об инциденте от внешней стороны. TTP-based отчёт помогает Blue Team сократить эти 11 дней, а бизнесу - понимать, за что именно он платит.
Структура TTP-based red team отчёта для Blue Team и бизнеса
Executive Summary: переводим MITRE ATT&CK техники и тактики в бизнес-риск
Executive summary в TTP-based отчёте - не пересказ технических находок простыми словами. Это привязка цепочки атаки к конкретным бизнес-последствиям.Структура, которую я использую на каждом engagement:
- Цель и scope - что эмулировали, какой threat actor моделировали (если применимо), временные рамки, ограничения (какие сегменты сети исключены).
- Ключевые достижения - от initial access до конечной цели, через бизнес-импакт: «получен доступ к ERP-системе через цепочку из 4 техник за 3 дня, потенциальный ущерб - доступ к платёжным данным 12 000 контрагентов».
- Kill chain summary - количество использованных тактик, общее число техник, процент обнаруженных Blue Team. Визуально - сводный ATT&CK Navigator heatmap.
- Метрики покрытия - % TTPs обнаруженных, % заблокированных, % оставшихся незамеченными. По методологии Thales по Purple Team operations ключевые показатели: «% of TTPs blocked, % of TTPs detected, % by MITRE technique».
- Top-3 критичных gap - самые опасные пробелы в детекции, сформулированные как бизнес-риск с указанием потенциального ущерба.
Матрица покрытия: ATT&CK Navigator и MITRE ATT&CK маппинг уязвимостей
ATT&CK Navigator - веб-инструмент от MITRE для визуализации покрытия техник. В контексте red team отчёта Navigator генерирует heatmap: какие техники применены, какие обнаружены, какие заблокированы.Формат layer-файла позволяет экспортировать матрицу в JSON и передать Blue Team как machine-readable артефакт. Цветовая кодировка, которую я применяю:
- Красный - техника применена, не обнаружена, не заблокирована
- Жёлтый - техника обнаружена с задержкой (>30 минут) или с ошибками в классификации
- Зелёный - техника обнаружена и/или заблокирована в реальном времени
- Серый - техника не входила в scope операции
JSON:
{
"name": "Red Team Op Q2-2025",
"techniques": [
{"techniqueID": "T1566.001", "tactic": "initial-access",
"color": "#ff0000", "comment": "Macro-вложение, не детектировано"},
{"techniqueID": "T1059.001", "tactic": "execution",
"color": "#ffff00", "comment": "PowerShell cradle, алерт через 47 мин"},
{"techniqueID": "T1003", "tactic": "credential-access",
"color": "#ff0000", "comment": "NPPSpy dump, не детектировано"}
]
}Детальное описание каждой TTP-находки в red team findings документации
Каждая использованная техника описывается по единому шаблону. Формат, который я отработал за два десятка engagement:| Поле | Описание | Пример |
|---|---|---|
| ATT&CK ID | Идентификатор техники | T1059.001 |
| Тактика | Цель атакующего | Execution |
| Название | Стандартное из ATT&CK | PowerShell |
| Действие оператора | Конкретная команда/метод | Download cradle для загрузки BloodHound |
| Артефакты | Логи, хеши, C2-трафик | Process ID, parent process, командная строка |
| Результат детекции | Обнаружено / Не обнаружено / Заблокировано | Обнаружено через 47 мин |
| Причина пробела | Нет логов / Нет правила / Misconfiguration | Script Block Logging отключён |
| Рекомендация Blue Team | Конкретное действие | Sigma: proc_creation_win_powershell_susp_parent_process.yml |
| D3FEND контрмера | Защитная техника | D3-DA (Dynamic Analysis), D3-FA (File Analysis) |
Такой формат превращает отчёт в инструмент. SOC-инженер берёт строку и конвертирует в правило корреляции - без переводов и интерпретаций.
Маппинг шагов пентеста на MITRE ATT&CK: пошаговая методология
Требования к окружению
Detection opportunities: рекомендации для Blue Team в отчёте о проникновении MITRE
Sigma-правила как deliverable пентест отчёта для бизнеса
Ключевое отличие TTP-based документирования результатов пентеста: каждая рекомендация привязана к конкретному detection-артефакту. Вместо абстрактного «улучшить мониторинг PowerShell» - ссылка на правило с указанием source:
YAML:
# Рекомендация для T1059.001 (PowerShell)
# Sigma: proc_creation_win_powershell_susp_parent_process.yml
# Path: rules/windows/process_creation/
# Установка: pip install sigma-cli pysigma-backend-splunk pysigma-pipeline-sysmon
# Конвертация: sigma convert -t splunk -p sysmon rule.yml
# Тактика: Execution. Всего Sigma-правил для T1059.001 в SigmaHQ: 192Ограничение: Sigma-правила покрывают известные паттерны. Если Red Team использовала кастомный tooling, не совпадающий с публичными сигнатурами, в отчёте указываются конкретные IoC (хеши, command line patterns) для создания custom-правил. Готовых рецептов тут нет - придётся писать руками.
D3FEND countermeasures в red team blue team взаимодействии
MITRE D3FEND - knowledge graph защитных техник с прямым маппингом на ATT&CK. В отчёте D3FEND даёт Blue Team не только «что детектировать», но и «каким классом контрмер закрывать gap».| ATT&CK техника | D3FEND контрмера | Тип | Артефакт мониторинга |
|---|---|---|---|
| T1566.001 Spearphishing Attachment | D3-ISVA Inbound Session Volume Analysis | Detect | Inbound Internet Network Traffic |
| T1566.001 | D3-CSPP Client-server Payload Profiling | Detect | Network Traffic |
| T1059.001 PowerShell | D3-FA File Analysis | Detect | File |
| T1059.001 | D3-DA Dynamic Analysis | Detect | Executable File |
| T1190 Exploit Public-Facing App | D3-NTSA Network Traffic Signature Analysis | Detect | Network Traffic |
Каждая строка - задача для Blue Team: «внедрить D3-NTSA для мониторинга входящего трафика на периметре, фокус - сигнатуры эксплойтов public-facing приложений». В классических отчётах такого уровня конкретики нет - там обычно «рекомендуется усилить мониторинг», и на этом всё.
Метрики purple team отчётности TTP для бизнеса
Для CISO и руководства TTP-based отчёт содержит метрики состояния защиты в цифрах:- Detection Rate - % техник, обнаруженных Blue Team. Формула: (обнаруженные TTP / всего TTP) × 100. В нашем примере: 1 из 4 = 25%.
- Block Rate - % техник, заблокированных автоматически (EDR, firewall, sandbox). В нашем примере: 0%. Ноль. Ни одна техника не была остановлена автоматикой.
- Mean Time to Detect (MTTD) - среднее время от выполнения техники до алерта. Для PowerShell: 47 минут. Контекст: рекорд lateral movement по CrowdStrike - 51 секунда. MTTD больше часа означает, что атакующий уже на следующем хосте.
- Coverage by Tactic - % покрытия по каждой тактике ATT&CK. Initial Access: 0%. Execution: 100%. Credential Access: 0%. Defense Evasion: 0%.
- Gap Severity - приоритизация по бизнес-импакту. T1003 на DC - критический gap. T1595 (Active Scanning) на внешнем периметре - средний.
Инструменты документирования результатов пентеста
| Инструмент | Интеграция с ATT&CK | Формат вывода | Подходит для |
|---|---|---|---|
| ATT&CK Navigator (MITRE, open source) | Нативно | JSON layer, SVG, Excel | Любая команда |
| Vectr (SecurityRisk Advisors, open source) | Нативно | Web dashboard, PDF | Purple team, регулярные операции |
| Pwndoc (open source) | Через шаблоны | DOCX, PDF | Команды с потоком пентестов |
| PlexTrac (коммерческий) | Нативно | Web, PDF, API | Enterprise с бюджетом |
| Confluence/Notion + шаблон | Ручной маппинг | Web, PDF export | Минимальный бюджет |
Для старта хватит ATT&CK Navigator и стандартизированного шаблона в любом wiki-движке. По мере роста количества engagement - переход на Vectr (специализирован под tracking TTP по операциям, хранит историю по кампаниям) или PlexTrac (API-интеграция для автоматизации pipeline отчётности).
Ключевое требование: экспорт findings в machine-readable формат (JSON, STIX). Отчёт, который существует только как PDF - одноразовый артефакт. Ляжет на SharePoint и больше не откроется. Отчёт в JSON - часть автоматизированного pipeline улучшения детекции.
Большинство Red Team отчётов, которые мне доводилось видеть за пределами собственной команды - документы, написанные атакующими для атакующих. Скриншоты beacon sessions, дампы BloodHound, цепочки команд без единого слова о том, что Blue Team с этим делать.
TTP-based подход меняет суть red team blue team взаимодействия. Это не «мы вас взломали, вот доказательства». Это «вот точки, где ваш стек слеп, вот Sigma-правила для закрытия пробелов, вот D3FEND-контрмеры, вот метрики для отслеживания прогресса». По данным Verizon DBIR 2025, 68% утечек связаны с человеческим фактором - и плохо структурированный Red Team отчёт тоже часть этого фактора. Плохо документированный engagement - ошибка атакующей команды, за которую в итоге платит заказчик.
В ближайшие год-два маппинг на ATT&CK в Red Team отчётах станет базовым требованием заказчиков в России - как CVSS scoring стал обязательным пять лет назад. Команды, которые не перестроятся с vulnerability-centric на behavior-centric документирование, потеряют контракты тем, кто отдаёт заказчику не список дыр, а инструмент для измеримого улучшения защиты. Хотите проверить разницу - возьмите предпоследний engagement, перемаппируйте его по шаблону из этой статьи и покажите результат заказчику. Реакция скажет всё.
