MITRE представила Fight Fraud Framework — «энциклопедию» тактик и техник кибермошенничества
Некоммерческая организация MITRE опубликовала Fight Fraud Framework (F3) — базу знаний с описаниями кибермошенничества через тактики и техники злоумышленников с учетом всей цепочки действий, включая вывод средств. На основе методики организации могут анализировать атаки и выстраивать защиту — от обнаружения до предотвращения и реагирования, в том числе на ранних этапах. Редакция SecPost подготовила обзор фреймворка.
Как MITRE описывает мошенничество
Американская некоммерческая организация MITRE, разработчик методик и фреймворков в области кибербезопасности, представила Fight Fraud Framework (F3) — базу знаний, основанную на описании мошенничества через тактики и техники. Подход основан на анализе инцидентов и охватывает весь процесс — от получения доступа до проведения операций и вывода средств, связывая действия злоумышленников с финансовым результатом в последовательный сценарий.
Отмечается, что в организациях функции информационной безопасности и противодействия мошенничеству (antifraud) часто используют разные подходы и терминологию. В результате этапы атаки — от компрометации до вывода средств — анализируются разрозненно. F3 вводит единый способ описания таких инцидентов и помогает рассматривать их как целостный процесс.
Методология F3
В основе F3 — поведенческий подход: фреймворк описывает не инструменты, а действия злоумышленников и их цели. Модель строится из двух элементов:
- тактики — зачем совершается действие;
- техники — как именно оно выполняется.
Такой подход позволяет разложить мошенничество на последовательные шаги — от подготовки и получения доступа до вывода средств. В отличие от классических моделей кибератак, здесь отдельно учитывается этап извлечения денег как ключевая цель атаки. В результате формируется сквозной сценарий: злоумышленник собирает информацию, получает доступ, закрепляется в системе, проводит операции и переводит активы в свою пользу.
Структура: матрица F3
Все тактики и техники объединены в матрицу F3. Она показывает, какие цели ставит злоумышленник и какими способами их достигает. В матрице каждая тактика связана с набором техник, а при необходимости — с более детальными подтехниками. Это позволяет видеть не отдельные действия, а их взаимосвязь в рамках одного инцидента. Матрица используется для разбора атак, сопоставления сценариев и поиска типовых схем мошенничества.
Тактики мошенников: логика атаки
Тактики в F3 описывают цели злоумышленника — зачем выполняется то или иное действие. Модель охватывает не только проникновение, но и ключевую для мошенничества цель — извлечение денег. Часть тактик заимствована из моделей кибератак: сбор информации, подготовка инфраструктуры, получение доступа, обход защиты и выполнение действий.
Дополнительно введены две специфические тактики. Positioning — действия внутри системы после компрометации, когда злоумышленник готовит данные и операции. Monetization — перевод полученных активов в деньги или другую ценность.
Техники мошенничества: как выполняются атаки
Техники в F3 описывают конкретные способы действий злоумышленников — как достигается цель на каждом этапе. Фреймворк фиксирует типовые сценарии: получение доступа к аккаунтам, изменение их параметров, обход защитных механизмов и проведение операций от имени пользователя. Отдельная группа техник связана с выводом средств — переводами, обналичиванием и конвертацией в другие активы. Такое описание позволяет выделять повторяющиеся схемы и использовать их для обнаружения и предотвращения мошенничества.
Отличия от MITRE ATT&CK
F3 построен на логике MITRE ATT&CK — открытой базы знаний, описывающей действия злоумышленников через тактики (цели) и техники (способы). В отличие от ATT&CK, фреймворк F3 ориентирован на мошенничество. В нем отдельно выделены этапы, которые в классических моделях не акцентируются: действия внутри системы после получения доступа и последующее проведение финансовых операций. Это отражает особенности мошеннических схем, где ключевой результат — получение денег, а не сам факт взлома.
Практическое применение
F3 может использоваться для разбора инцидентов и выявления типовых схем мошенничества. Фреймворк позволяет описывать действия злоумышленников как последовательный сценарий и сопоставлять разные случаи между собой.
Он также применяется для согласования работы команд — от обнаружения до реагирования. Единая модель упрощает обмен информацией и помогает выстраивать меры защиты с учетом всей цепочки атаки. Фреймворк может использоваться совместно с другими инструментами MITRE, а также в форматах данных для анализа и обмена информацией.
Доступность и дальнейшее развитие
Фреймворк F3 доступен бесплатно вместе с дополнительными материалами и поддерживается как развивающийся проект с участием сообщества для организаций и специалистов. Фреймворк позиционируется как общий стандарт для описания мошенничества и совместной работы в этой области.
Редакция SecPost ведет реестр наиболее значимых аналитических отчетов по кибербезопасности.
Читайте также
