Тактики, техники и процедуры (TTP)
Что такое Тактики, техники и процедуры (TTP)?
Тактики, техники и процедуры (TTP)Многоуровневое описание поведения злоумышленника: тактики (зачем), техники (как) и процедуры (конкретная реализация).
TTP пришли из военной разведки и были адаптированы в кибербезопасности для описания поведения противника на трёх уровнях. Тактики обозначают высокоуровневую цель (например, первоначальный доступ, закрепление, эксфильтрация). Техники объясняют общий способ достижения цели (например, вложение spear-phishing, запланированная задача). Процедуры фиксируют конкретную реализацию, наблюдаемую «в дикой природе», например определённый PowerShell-загрузчик или путь в реестре. TTP — самый устойчивый уровень разведки: их изменение вынуждает противника переоснащаться. Каркас MITRE ATT&CK фактически является стандартом таксономии TTP.
● Примеры
- 01
Тактика: доступ к учётным данным. Техника: дамп учётных данных ОС. Процедура: Mimikatz sekurlsa::logonpasswords.
- 02
Тактика: закрепление. Техника: запланированная задача. Процедура: schtasks.exe создаёт ежедневную задачу, запускающую обфусцированный VBScript.
● Частые вопросы
Что такое Тактики, техники и процедуры (TTP)?
Многоуровневое описание поведения злоумышленника: тактики (зачем), техники (как) и процедуры (конкретная реализация). Относится к категории Защита и операции в кибербезопасности.
Что означает Тактики, техники и процедуры (TTP)?
Многоуровневое описание поведения злоумышленника: тактики (зачем), техники (как) и процедуры (конкретная реализация).
Как защититься от Тактики, техники и процедуры (TTP)?
Защита от Тактики, техники и процедуры (TTP) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Тактики, техники и процедуры (TTP)?
Распространённые альтернативные названия: TTP, Тradecraft.