MITRE представляет общую модель мошеннических кибератак, основанную на реальных данных

Финансовые потери от мошенничества в Соединённых Штатах достигли 16,6 миллиардов долларов в 2024 году, увеличившись с 4,2 миллиардов в 2020. За этими цифрами скрывается структурная проблема: команды, ответственные за противодействие мошенничеству — следователи по мошенничеству и аналитики кибербезопасности — традиционно работали раздельно, используя разные инструменты, терминологию и ментальные модели понимания атак.

Фреймворк MITRE Fight Fraud Framework, известный как F3, представляет собой модель, основанную на поведении, и создан для предоставления обеим командам общей структуры описания, обнаружения и пресечения мошеннических кампаний.

Модель, построенная на наблюдаемом поведении мошенников

F3 систематизирует поведение злоумышленников по тактикам и техникам, выведенным из реальных инцидентов. Тактики охватывают полный жизненный цикл атаки: Разведка, Развитие ресурсов, Первоначальный доступ, Уклонение от защиты, Позиционирование, Исполнение и Монетизация.

Две из этих тактик, Позиционирование и Монетизация, отсутствуют в фреймворке MITRE ATT&CK, который является устоявшейся моделью поведения при кибератаках. Позиционирование описывает действия противника в выбранной среде после получения доступа, включая сбор данных или подготовку к исполнению. Монетизация охватывает конвертацию похищенных активов в пригодные для использования средства или ценность. Эти дополнения отражают финансовую конечную цель, которая отличает мошенничество от других кибератак.

Если тактика или техника уже существует в ATT&CK, F3 использует её напрямую, с определениями, адаптированными под специфические цели мошенничества. Специфичные для мошенничества техники, выходящие за рамки ATT&CK, получают обозначения серии F1XXX для сохранения совместимости с общей схемой ATT&CK.

Чем F3 отличается от систем обнаружения на основе правил

В настоящее время организации полагаются на системы обнаружения мошенничества, основанные на правилах, которые применяют предопределённые условия к данным транзакций и запускают решения об одобрении, отклонении или пометке активности. F3 работает на другом уровне.

Объясняя различие для Help Net Security, исследовательская команда MITRE CTID описала: «F3 — это модель, основанная на поведении, которая описывает, как происходит мошенничество. Она кодифицирует тактики и техники мошенников на протяжении всего жизненного цикла, основываясь на реальных инцидентах. По сути, F3 отвечает на вопрос: "Чего противник пытается достичь на этом этапе и как он обычно это делает?" Это позволяет организациям понимать и описывать целые мошеннические кампании, а не изолированные подозрительные события».

Команда отмечает, что F3 может информировать и улучшать разработку правил, основывая логику обнаружения на наблюдаемом мошенническом поведении и последовательностях атак. Сам по себе F3 не оценивает транзакции и не принимает решений о блокировке. Правила, эвристики или модели машинного обучения по-прежнему необходимы для определения того, разрешить, заблокировать или эскалировать активность.

Объединение команд по борьбе с мошенничеством и кибербезопасности

Фреймворк MITRE Fight Fraud Framework предоставляет аналитикам по мошенничеству единый способ описания инцидентов через последовательное поведение, даёт киберкомандам структуру для обнаружения и проверки методов противника, а руководителям служб безопасности — основу для оценки рисков, связанных с реальным развитием мошеннических схем.

Исследовательская группа MITRE CTID описывает практический путь для организаций, начинающих использовать фреймворк: «Интегрируйте команды по борьбе с мошенничеством и кибербезопасностью. Объедините следователей по мошенничеству и киберанaлитиков через общие рабочие процессы, совместную работу и анализ для усиления возможностей обнаружения и реагирования. Документируйте инциденты и тренды с помощью MITRE F3. Используйте фреймворк MITRE F3 для стандартизации записи мошеннических сценариев, методов и шаблонов. Сопоставьте методы F3 с источниками данных. Свяжите задокументированные методы F3 с источниками данных вашей организации для лучшего выявления и мониторинга поведения противника.»

Принципы проектирования F3

Четыре принципа легли в основу построения фреймворка. Организации должны иметь возможность наблюдать эффекты от применения метода во время мошеннического инцидента. Каждый инцидент в F3 включает хотя бы один цифровой или технологический метод, такой как фишинг, вредоносное ПО или несанкционированный доступ. Методы описывают поведение противника, фокусируясь на конкретных, наблюдаемых действиях, а не на субъектах или инструментах. Поведения, проявляющиеся в нескольких конкретных формах, фиксируются как подметоды, чтобы сохранять единый уровень абстракции фреймворка.

Эти принципы привязывают F3 к наблюдаемому мошенническому поведению и сохраняют его применимость для киберразведки, разработки систем обнаружения и проектирования средств защиты.

Живой фреймворк

F3 создан для постоянного обновления по мере появления новых мошеннических схем и адаптации методов злоумышленников. MITRE планирует добавлять источники данных для обнаружения методов мошенников и рекомендуемые меры защиты по мере развития фреймворка. Организации могут изучать фреймворк, предлагать правки, определять приоритеты будущего контента, а также вносить новые методы или улучшения на сайте F3.