Найти в Дзене
bashninja | DevOps & SRE ⚙️
98 подписчиков

Kill Chain vs MITRE ATT&CK: чем они отличаются простыми словами

1
1 мин
В кибербезопасности часто звучат сложные термины. Две самые популярные модели — это Kill Chain и MITRE ATT&CK. Оба инструмента помогают понять, как действуют хакеры, но делают это по-разному. Давайте разберёмся без академического занудства. Kill Chain можно представить как сюжет фильма про хакеров.
Атака всегда идёт шаг за шагом: 👉 Эта модель показывает как проходит атака в целом. Удобно, чтобы видеть картину полностью и понимать, где её можно остановить. ATT&CK — это уже не фильм, а книга с трюками хакеров.
Там собрано всё: от способов попасть в систему до методов кражи данных. Например: 👉 Эта модель помогает понимать детали, что именно делает злоумышленник в каждый момент времени. Фишинговое письмо с «обновлением доступа в GitLab» приходит инженеру.
Оглавление

🔐 Kill Chain против MITRE ATT&CK: объясняем простыми словами

В кибербезопасности часто звучат сложные термины. Две самые популярные модели — это Kill Chain и MITRE ATT&CK. Оба инструмента помогают понять, как действуют хакеры, но делают это по-разному. Давайте разберёмся без академического занудства.

🚀 Kill Chain — цепочка атаки

Kill Chain можно представить как сюжет фильма про хакеров.

Атака всегда идёт шаг за шагом:

  1. Разведка — злоумышленник ищет информацию о компании: домены, почту сотрудников, технологии.
  2. Подготовка — создаётся вредоносный файл или письмо с «заманухой».
  3. Доставка — отправка фишингового письма или загрузка файла на сайт.
  4. Взлом — использование уязвимости или ошибка пользователя.
  5. Закрепление — установка бэкдора, чтобы вернуться снова.
  6. Управление — хакер связывается с системой жертвы и отдаёт команды.
  7. Цель — кража базы данных, остановка сервиса или вымогательство.

👉 Эта модель показывает как проходит атака в целом. Удобно, чтобы видеть картину полностью и понимать, где её можно остановить.

📚 MITRE ATT&CK — набор приёмов

ATT&CK — это уже не фильм, а книга с трюками хакеров.

Там собрано всё: от способов попасть в систему до методов кражи данных.

Например:

  • Получение доступа: фишинг, подбор паролей, использование токенов.
  • Закрепление: запуск скрытых процессов, автозагрузка, вредоносные контейнеры.
  • Перемещение внутри сети: использование доверенных учётных записей.
  • Кража информации: выгрузка баз, пересылка файлов через облачные сервисы.

👉 Эта модель помогает понимать детали, что именно делает злоумышленник в каждый момент времени.

🔗 Чем они отличаются?

  • Kill Chain — история атаки «от и до». Хорошо объясняет, где можно оборвать атаку.
  • ATT&CK — справочник приёмов. Полезен для специалистов: на его основе строят правила мониторинга и сценарии реагирования.

🧪 Пример на практике

Фишинговое письмо с «обновлением доступа в GitLab» приходит инженеру.

  • Через Kill Chain:

    письмо → введён пароль → злоумышленник закрепился → украл базу.
  • Через ATT&CK:

    используется приём «фишинг», затем «кража учётных данных», потом «перемещение по сети», и наконец «выгрузка данных».

✅ Итог

  • Kill Chain помогает видеть всю историю атаки.
  • ATT&CK помогает понять конкретные шаги злоумышленника.
  • Вместе они дают максимально полное понимание: и стратегия, и тактика.