Threat Report ATT&CK Mapping

What: #report
Where: #conference ATT&CKcon 2.0
Who: #mitre
When: 29/10/2019
How: video

На календаре две тысячи девятнадцатый. В России год театра, в Казахстане год молодёжи, а в Узбекистане год Казахстана. На конференции ATT&CKcon 2.0 коллеги из MITRE представили миру платформу TRAM (Threat Report ATT&CK Mapping). Идея заключается в том, чтобы считывать данные из отчётов, загруженных ссылкой, либо файлом в платформу и мапить их на матрицу ATT&CK. В докладе подсвечивают ключевые проблемы при ручном анализе подобных отчётов: — большое количество самих отчётов; — надо великолепно ориентироваться среди техник матрицы; — человеческий фактор при анализе (неточности и т.п.) TRAM предлагает решить эту проблему c помощью связки NLP + SQL + regex + ATT&CK и удобного UI. Девчонки обещают в скором времени поделиться платформой с комьюнити.

На календаре две тысячи двадцать второй. TRAM претерпел некоторые изменения, помимо переноса в новый репозиторий в части UI и теперь нельзя грузить отчёты в виде ссылок (а было бы очень удобно 🙄). Проблемы при маппинге отчётных TTP на матрицу остались прежними: количество не поменялось, всё также надо ориентироваться в матрице, а человеческий фактор никуда не исчез. После установки докера, скармливания .yaml файла и запуска контейнера (я уже devops или ещё нет?), видим обновлённый UI, тестовую выборку из 12к+ предложений и управление нашими моделями (математическими, конечно же). Из очевидных минусов — это отсутствие всех выявленных техник по списку, как это делают некоторые вендоры в своих отчётах в заключительной части. Необходимо прожимать каждое предложение отдельно, чтобы посмотреть на какую технику ссылается модель. К точности обученной за три года модели тоже есть вопросы. Посмотрим, как будет развиваться эта история дальше. Цель благородная, вопрос в реализации.

Если найдёте альтернативы, помимо Anomali Lens, стукните в лс.

---