MITRE ATT&CK™

Czym jest MITRE ATT&CK™ i dlaczego stanowi fundament dla bezpieczeństwa firm?

MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) to publiczna, systematycznie aktualizowana baza wiedzy katalogująca realne zachowania cyberprzestępców zaobserwowane podczas incydentów na całym świecie. Bazą zarządza MITRE Corporation — niezależna organizacja non-profit.

ATT&CK koncentruje się na wzorcach zachowań napastnika, czyli taktykach, technikach i procedurach (TTPs). Tradycyjne systemy opierają się na wskaźnikach kompromitacji (IoC) — adresach IP, hashach plików, złośliwych domenach. Zmiana sygnatury pliku jest dla atakującego trywialna. Zmiana całej techniki operacyjnej wymaga ogromnych nakładów czasu i pieniędzy. Ta asymetria kosztów czyni ATT&CK skutecznym narzędziem obrony — tysiące organizacji na świecie wbudowało go w rdzeń swoich operacji obronnych.

 

Dlaczego framework MITRE ATT&CK jest skuteczny z perspektywy atakującego?

Framework MITRE ATT&CK jest skuteczny, ponieważ opisuje ataki z perspektywy napastnika — nie obrońcy. Filozofia ATT&CK opiera się na założeniu o nieuchronności kompromitacji (Assume Breach): zdeterminowany napastnik sforsuje systemy obronne organizacji. Zrozumienie ruchu intruza wewnątrz sieci jest ważniejsze niż łatanie zewnętrznych luk.

• Perspektywa atakującegp. Tradycyjne podejścia – CVSS (Common Vulnerability Scoring System), CWE (Common Weakness Enumeration) czy CAPEC – oceniają infrastrukturę z punktu widzenia obrońcy. ATT&CK kategoryzuje działania według celów i intencji napastnika.
• Poparte dowodami. Każda technika w bazie wymaga udokumentowania dowodami użycia „na wolności” (in-the-wild) – raportami CTI (Cyber Threat Intelligence), analizami malware lub zgłoszeniami zespołów CERT.
• Przejrzysty język. ATT&CK rozbija złożone procesy (np. eksfiltrację, eskalację uprawnień, ruch boczny) na konkretne, weryfikowalne kroki – czytelne zarówno dla inżynierów konfigurujących reguły SIEM, jak i dla kadry zarządczej oceniającej ryzyko biznesowe.

Z jakich elementów składa się anatomia i klasyfikacja w MITRE ATT&CK?

Czym są taktyki (Tactics) w modelu MITRE?

Taktyki to wysokopoziomowe cele strategiczne atakującego – odpowiadają na pytanie „dlaczego?”. Macierz ATT&CK for Enterprise definiuje 14 taktyk, m.in. Reconnaissance (rozpoznanie), Initial Access (uzyskanie dostępu), Persistence (utrzymanie obecności), Privilege Escalation (eskalacja uprawnień), Defense Evasion (unikanie wykrycia), Lateral Movement (ruch boczny), Exfiltration (wyprowadzanie danych) czy Impact (wyrządzanie szkód). Taktyki nie tworzą sztywnej osi czasu – intruz przeskakuje między nimi swobodnie.

Jak działają techniki i subtechniki (Techniques)?

Techniki opisują konkretne metody realizacji celu taktycznego – odpowiadają na pytanie „jak?”. Baza kataloguje setki technik, np. Brute Force (T1110), Process Injection (T1055), czy Phishing (T1566). Subtechniki oferują bardziej szczegółowy opis wariantu wykonawczego – np. Brute Force obejmuje Password Guessing (T1110.001), Password Cracking (T1110.002), Password Spraying (T1110.003) i Credential Stuffing (T1110.004).

Czym są procedury (Procedures) w kontekście grup hakerskich?

Procedury to udokumentowane przypadki użycia technik przez konkretne grupy cyberprzestępcze – fizyczne narzędzia, ciągi poleceń i skrypty użyte w realnych incydentach. Grupa APT28 (Fancy Bear) stosuje inne procedury eksfiltracji niż Cobalt Group czy FIN7, nawet wykorzystując tę samą technikę z macierzy.

W jaki sposób łagodzić i wykrywać ataki (Mitigations & Detections)?

Każdej technice w bazie ATT&CK towarzyszą dwa uzupełnienia. Mitygacje (Mitigations) definiują działania zdolne zneutralizować dany wektor ataku np. stosowanie MFA (Multi-Factor Authentication), segmentację sieci czy ograniczanie uprawnień administracyjnych. Źródła danych (Data Sources) wskazują, jakie komponenty środowiska IT wymagają monitoringu w celu wykrycia ataku: dzienniki zdarzeń Windows, wywołania API, ruch sieciowy czy logi uwierzytelniania.

Jak wykorzystać framework MITRE ATT&CK podczas incydentu bezpieczeństwa?

Oparcie strategii Incident Response na TTPs stanowi ugruntowaną metodę zarządzania incydentem promowaną m.in. przez amerykańską agencję CISA (Cybersecurity and Infrastructure Security Agency). Proces obejmuje trzy etapy:

• Identyfikacja technik – zespół IR nanosi wykryte techniki intruza na macierz, klasyfikując kanał C2, metody kradzieży poświadczeń i ścieżki ruchu bocznego. Znane wzorce behawioralne danej grupy APT wskazują kolejne ruchy napastnika.
• Odcięcie dostępu – usunięcie wszelkich form persystencji, czyli mechanizmów utrzymania dostępu: kont backdoorowych, zaplanowanych zadań systemowych czy zmodyfikowanych kluczy rejestru.
• Weryfikacja neutralizacji zagrożenia – macierz służy jako lista kontrolna potwierdzająca zamknięcie wszystkich wektorów ataku.

Jaka jest różnica między MITRE ATT&CK a modelem Cyber Kill Chain?

Lockheed Martin Cyber Kill Chain (2011) rozbija atak na siedem sekwencyjnych faz. Liniowy charakter modelu i nacisk na zewnętrzne metody wdrażania malware nie oddają rzeczywistości współczesnych ataków.

Kryterium	Cyber Kill Chain	MITRE ATT&CK
Struktura przebiegu	7 faz w stałej kolejności	14 taktyk bez narzuconej kolejności
Szczegółowość końcowych działań	Jedna faza „Actions on Objectives.”	3 taktyki: Collection, Exfiltration, Impact – ponad 30 technik
Narzędzia natywne	Zakłada dedykowany malware	Operacjonalizuje Living off the Land (PowerShell, WMI, cmd.exe)

Oba modele nie wykluczają się wzajemnie – Kill Chain sprawdza się jako rama strategiczna dla zarządu, ATT&CK jako narzędzie operacyjne dla inżynierów.

Jakie narzędzia pomagają mapować obronę i luki bezpieczeństwa?

• ATT&CK Navigator – aplikacja webowa do wizualnego mapowania pokrycia detekcyjnego, tworzenia warstw (layers) i identyfikowania martwych punktów (blind spots) w zabezpieczeniach.
• Mappings Explorer – narzędzie CTID (Center for Threat-Informed Defense) wizualizujące ponad 6300 relacji między kontrolami NIST 800-53 a technikami ATT&CK.
• MITRE Caldera – platforma do automatyzowanej symulacji ataków, pozwalająca zespołom Red i Purple Team na kontrolowane odtwarzanie technik z macierzy.
• Atomic Red Team – stworzona przez Red Canary biblioteka szybkich i modułowych testów weryfikujących pojedyncze techniki lub subtechniki.

Jakie są najlepsze praktyki budowania odporności organizacyjnej z MITRE ATT&CK?

• Priorytetyzacja zagrożeń – identyfikacja grup APT atakujących dany sektor i skoncentrowanie się na ich technikach. Profile grup (np. APT28, Cobalt Group, FIN7) zawierają gotowe zestawienia TTPs.
• Detekcja behawioralna – zastąpienie reguł opartych na sygnaturach detekcją zorientowaną na wzorce zachowań, np. alert przy nietypowym użyciu PowerShella przez konto usługowe.
• Ćwiczenia Purple Team – zespoły ofensywne odgrywają scenariusze z macierzy, a zespoły defensywne weryfikują skuteczność detekcji.
• Mapowanie cieplne (heatmapping) – nałożenie posiadanych narzędzi (firewall, EDR, SIEM) na pełną macierz, ujawniające obszary bez detekcji.

W jaki sposób MITRE ATT&CK wspiera zgodność z normami i regulacjami prawnymi?

CTID skatalogował ponad 6300 relacji między wymogami NIST 800-53 a technikami ATT&CK, pozwalając CISO i audytorom uzasadniać inwestycje w bezpieczeństwo językiem zrozumiałym dla zarządu.

W Polsce framework adaptują krajowe autorytety. CERT Polska (NASK) opiera analizy po incydencie na formalnej analizie ataków z wykorzystaniem TTPs – raport dotyczący skoordynowanego ataku na polski sektor energetyczny z grudnia 2025 roku wykorzystywał jednocześnie macierze Enterprise i ICS. Komisja Nadzoru Finansowego (KNF) rekomenduje podejścia oparte na MITRE w wytycznych dotyczących ochrony przed ransomware. Terminologię TTPs wykorzystuje również Wojskowa Akademia Techniczna (WAT).

Kompleksowe wsparcie w budowaniu odporności cybernetycznej

Skuteczna operacjonalizacja MITRE ATT&CK wymaga profesjonalnego wsparcia technologicznego. Trecom oferuje kompleksowe usługi cyberbezpieczeństwa:

Pojęcia powiązane z MITRE ATT&CK