Согласен с Mandiant (правда цифра 99 выглядит преувеличенной КМК)

The Theory of 99: Almost All Threat Activity Happens in Windows and Linux Systems

99% of compromised systems will be computer workstations and servers

99% of malware will be designed for computer workstations and servers

99% of forensics will be performed on computer workstations and servers

99% of detection opportunities will be for activity connected to computer workstations and servers

99% of intrusion dwell time happens in commercial off-the-shelf (COTS) computer equipment before any Purdue level 0-1 devices are impacted

https://www.fireeye.com/blog/threat-research/2019/12/fireeye-approach-to-operational-technology-security.html

Сегодня при участии @Anton_Shipulin @zlonov на эфире Код ИБ | Безопасная среда составили прототип майнд-карты по теме Безопасности АСУ ТП.

Если у вас есть желание добавить на карту кусочек своего знания - будем рады 😊 Напишите мне в личку, и я вам доступ на редактирование.

Если эти данные основаны на из incident response engagements, а я думаю, что так оно и есть, то очень даже может быть. Только вопрос в том, сколько из них связаны непосредственно с ОТ, а не просто с threat groups, которые в какой-то момент времени целились на ОТ.

По результатам голосования соберём петицию и передадим в MITRE 😁

И? Это ж правило Парето

Все верно, я обычно и использую аналогию что 80/20. Это просто пример важности мониторинга IT техник в АСУ ТП. С единой матрицей будет удобнее

Я немного не понимаю суть спора. Вот есть большая база знаний в виде матрицы, которую можно использовать всем желающим. Эта таблица проходит шаги аналогичные таблицам из приказов ФСТЭК и получается уже частная матрица для конкретного объекта.
Кто хочет может пользоваться этой базой ,кто не хочет может не пользоваться (опять же на мой взгляд проще иметь пусть 70-80% всех вариантов в одном месте, чем искать все 100% по разбросанным уголкам). В общем я к тому, что такие базы, mind-карты и т.п. облегчают путь новым ИБшникам, которые только разбираются в этой области

Не-а. Пример неудачный. Вот есть каталог угроз из 100500 угроз. Для конкретной системы я оперирую не всем каталогом, а частной моделью с учетом специфики конкретной системы.

А как Вы составили эту частную модель?
Берем 217 угроз из БДУ ФСТЭК. знаем, что к нашей системе не применимы угрозы связанные с мобильными устройствами, облачными технологиями и т.п. Убираем 30-40 угроз связанных с такими технологиями. Получаем частную модель?

Вообще дело вкуса. Разные или одна. Просто с разными матрицами легче упустить важное для защитника, кто-то может сконцентрироваться только на одной из матриц.

Просто апну голосование

Именно. И работаю я не с БДУ, а с частной репликой ее. Так и с att@ck. Есть полный перечень всех ттр. Из него делается матрица для корпсети, для мобилок, для асу тп, для облаков...

Как говорит @malotavr, ФСТЭК ему судья тогда, если он не понимает, что делает

Думаю, те, кто говорит, что одна матрица - плохо, никогда не маппили по ней атаку, ибо чем их больше, тем менее удобно

Дак я про это и говорю, что сначала берется общая БД, которая адаптируется для конкретного объекта.
Плюс такой БД в том, что её проще актуализировать

Ну мы же все такие умные должны помогать делать коллегам жизнь и работу проще/удобнее, а не расставлять подвохи

Так у вас и сейчас есть общая база ттр

Она и будет одна для конкретного объекта защиты. Только не максимально набитая кучей лишних ттр

Полного перечня всех TTPs там, разумеется, нет, поэтому господа из MITRE и призывают контрибьютить в ATT&CK. Но так как атаки на ОТ в подавляющем большинстве случаев тесно связаны с ИТ, вполне логично объединить эти матрицы, чтобы специалистам по реагированию, киберразведке и т.д. было проще работать