И фишка ее не в массовости

Извини, а в ТАСС вы ее зачем запихнули, если ее фишка не в массовости?

ТАСС уполномочен заявить ))

На всю Россию и весь мир... о немассовой атаке

Коллеги, давайте в кучу не мешать

Я уж тогда тоже ворвусь

И тебя призвали

Индикаторы в классическом смысле в этом кейсе просто бессмысленны. Это семейства ВПО, они меняются под каждую инфраструктуру и версию

Описание алгоритмов позволяет опытной команде подумать как это ловить и что проверять без индикаторов

А что делать опытным командам, которые уже несколько месяцев живут по методике ФСТЭК, в которой иная классификация ТТУ (TTP)?

Часть правил универсальных есть. Их при очень большом желании можно получить у второго участника отчёта. Мало кто не имеет статуса ГОССОПКА. Алексей, без обид :)

Самим маппить?

Это вообще причём? Какое отношение в данном случае техники имеют к детектирующим правилам?

Это имеет отношение к опубликованному отчету

Как будто под каждую технику есть одно универсальное правило

Маппить на что и зачем?

Какая практическая цель?

Согласно ФСТЭК все субъекты КИИ должны пересматривать модель угроз при выявлении новых сценариев реализации угроз. Ваш отчет ровно про это. То есть после выхода вашего отчета все субъекты КИИ должны пересмотреть свою модель угроз, но вот незадача, вы приводите классификацию TTP по ATT&CK, а у всех модель угроз описывается с помощью ТТУ от ФСТЭК. И как понять, TTP из вашего отчета уже включены в модели угроз субъектов КИИ или нет? Володя, без обид 😊

А про ТАСС - мы коммерческая компания, имеем право заявить об результатах. Другие поступают иначе? И да, деталей в итоге будет больше, ещё часть опубличивания кейса в стадии согласования. Не совсем для паблика, но для информационных обменов

Когда этот вопрос мне или компании задаст ФСТЭК или хотя бы один заказчик, который собирается действительно это сделать, я с удовольствием объясню подход или в частном порядке выдам маппинг. Тоже без обид :)