Метод нормализации полей внешних источников репозитория данных о кибератаках MITRE CTI
Аннотация
Дата поступления статьи: 18.04.2023Растущая сложность промышленных систем существенно увеличивает поверхность возможных кибератак, и следовательно требует надёжных методов оценки защищенности инфраструктуры. Современные методы оценки защищенности опираются на работу с большим количеством данных, представление которых зачастую не стандартизировано. Одним из таких источников является база знаний MITRE ATT&CK, содержащая информацию об атакующих техниках в формате, позволяющим взаимодействовать с ней программно. Данная работа направлена на решение задачи нормализации полей внешних источников, описывающих атакующую технику, с целью повышения эффективности работы с вышеописанным репозиторием. Метод, предлагаемый в данной работе, основан на возможности спецификации языка STIX, используемого для описания данных, представленных в MITRE ATT&CK, к расширению и использовании открытых словарей. Разработка предлагаемого метода основывалась на данных об атакующих техниках матрицы Enterprise, как наиболее полного среди всех доменов базы знаний ATT&CK, однако предложенный метод является самостоятельным и не зависит от конкретного домена.
Ключевые слова: анализ угроз, база знаний, информационная безопасность, MITRE ATT&CK, стандартизация
2.3.6 - Методы и системы защиты информации, информационная безопасность
.