ISO/IEC 27001:2022 и MITRE ATT&CK в современной архитектуре кибербезопасности: почему их нельзя противопоставлять

В профессиональной среде информационной безопасности в последние годы всё чаще можно услышать тезис о том, что классические стандарты семейства ISO/IEC 27000 якобы утратили практическую ценность для современной кибербезопасности. Обычно подобная позиция сопровождается утверждениями о том, что реальная защита сегодня строится вокруг MITRE ATT&CK, Threat Hunting, DFIR (Digital Forensics and Incident Response), Detection Engineering и SOC (Security Operations Center), тогда как ISO/IEC 27001 воспринимается исключительно как compliance-framework для аудита и сертификации.

Подобная точка зрения стала особенно популярной на фоне роста:

• ransomware-экосистем;

• атак на cloud infrastructure;

• компрометации identity systems;

• supply-chain атак;

• злоупотребления легитимными административными инструментами;

• атак без использования классического malware.

На первый взгляд подобная логика кажется убедительной. Действительно, ISO/IEC 27001:2022 не описывает:

• lateral movement (горизонтальное перемещение);

• credential dumping (извлечение учётных данных);

• persistence techniques (механизмы закрепления);

• command-and-control;

• privilege escalation;

• defense evasion.

Из этого многие делают ошибочный вывод:

если стандарт не описывает современные атаки, значит он не применим к современной кибербезопасности.

Однако подобная логика основана на фундаментальном методологическом смешении различных архитектурных уровней безопасности.

Проблема заключается в том, что:

• ISO/IEC 27001;

• MITRE ATT&CK;

• DFIR;

• SOC;

• Threat Hunting;

• Detection Engineering

решают разные задачи и функционируют на разных уровнях одной системы кибербезопасности.

Их прямое сравнение методологически некорректно.

Главная ошибка современной дискуссии

Сегодня в индустрии всё чаще формируется ошибочное противопоставление:

либо governance и ISO/IEC 27001,
либо ATT&CK и operational security.

На практике подобное противопоставление возникает из-за смешения:

• governance layer;

• operational layer;

• detection layer;

• incident response layer.

ISO/IEC 27001 никогда не создавался как модель поведения атакующего. Его задача — не объяснять, каким образом злоумышленник реализует Kerberos delegation abuse, OAuth persistence или lateral movement через PsExec.

Стандарт отвечает на совершенно другие вопросы:

• как организация управляет безопасностью;

• как распределяется ответственность;

• каким образом принимаются risk-based decisions;

• как обеспечивается accountability;

• как реализуется continuous improvement;

• как организуется управление инцидентами;

• каким образом поддерживается устойчивость процессов безопасности.

MITRE ATT&CK, напротив, вообще не занимается governance.

ATT&CK не отвечает:

• кто владелец риска;

• как проводится management review;

• каким образом организован внутренний аудит;

• как управляются поставщики;

• как реализуется supplier security;

• каким образом обеспечивается forensic readiness.

ATT&CK решает совершенно другую задачу — систематизацию adversary behavior (поведения злоумышленника).

Следовательно:

• ATT&CK не заменяет ISO/IEC 27001;

• ISO/IEC 27001 не заменяет ATT&CK.

Они функционируют на разных архитектурных уровнях и взаимно дополняют друг друга.

Почему operational security без governance быстро деградирует

Одной из самых опасных иллюзий современной индустрии является убеждение, что наличие:

• SIEM;

• EDR/XDR;

• Threat Intelligence;

• ATT&CK mapping;

• Threat Hunting;

• Detection Engineering

автоматически делает организацию зрелой в области кибербезопасности.

Практика показывает обратное.

Во многих организациях operational security существует фрагментарно:

• logging coverage неполный;

• telemetry разрознена;

• retention недостаточен;

• ownership процессов отсутствует;

• cloud audit logs хранятся слишком коротко;

• расследования выполняются вручную;

• detection logic не управляется централизованно;

• visibility критически ограничен.

При этом организация может обладать:

• современным SOC;

• дорогостоящей SIEM-платформой;

• ATT&CK dashboards;

• коммерческим Threat Intelligence;

• XDR-инфраструктурой.

Но отсутствие governance приводит к тому, что operational security превращается в набор разрозненных технических инициатив.

На практике это выглядит значительно менее красиво, чем в презентациях вендоров.

Очень многие SOC уверены, что обладают достаточным visibility, пока не сталкиваются с серьёзным инцидентом. После этого внезапно выясняется:

• DNS telemetry никогда полноценно не собиралась;

• PowerShell logging отключён;

• retention составляет семь дней;

• cloud audit logs уже перезаписаны;

• синхронизация времени между системами нарушена;

• критическая часть инфраструктуры вообще не интегрирована в SIEM.

В результате расследование превращается не в reconstruction attack chain, а в попытку восстановить события по фрагментам артефактов.

Именно здесь проявляется реальная роль ISO/IEC 27001.

Зрелая ISMS (Information Security Management System) создаёт организационную среду, внутри которой operational cybersecurity вообще становится возможной.

Именно governance-driven processes обеспечивают:

• централизованное журналирование;

• требования к retention;

• управление изменениями;

• supplier security;

• распределение ответственности;

• регулярную оценку рисков;

• incident governance;

• forensic readiness;

• auditability.

Без этого SOC начинает работать практически вслепую.

ATT&CK не является системой защиты

В последние годы MITRE ATT&CK фактически стал industry standard для:

• threat-informed defense;

• detection engineering;

• adversary emulation;

• threat hunting.

Однако вокруг ATT&CK постепенно сформировалось опасное искажение.

Многие организации начали воспринимать ATT&CK coverage как показатель зрелости защиты.

На практике это часто приводит к декоративной безопасности.

Во многих SOC ATT&CK mapping сводится к формальной привязке alert’ов к techniques:

• T1059;

• T1027;

• T1566;

• T1078.

При этом:

• качество detection logic не улучшается;

• false positive rate остаётся критическим;

• telemetry gaps сохраняются;

• lateral movement по-прежнему не обнаруживается;

• cloud visibility ограничен;

• identity abuse практически не контролируется.

В результате ATT&CK превращается в красивую классификационную надстройку поверх слабой detection architecture.

Особенно хорошо это видно во время реальных расследований.

Многие SOC способны показать ATT&CK heatmap, но при этом не способны ответить на базовые вопросы:

• как злоумышленник закрепился;

• каким образом развивалась атака;

• когда началась credential compromise;

• какие учётные записи использовались;

• какие данные были затронуты.

Наличие ATT&CK coverage само по себе не означает способность организации обнаруживать adversary behavior.

ATT&CK — это knowledge base.
Не operational capability.

Кризис IOC-based security

Традиционная модель SOC исторически строилась вокруг:

• IOC (Indicators of Compromise);

• IP-addresses;

• hashes;

• domains;

• signatures;

• correlation rules.

Подобная архитектура относительно эффективно работала в эпоху:

• commodity malware;

• простых phishing campaigns;

• статичной command-and-control infrastructure.

Однако современные adversaries increasingly rely on:

• living-off-the-land techniques;

• legitimate administration tooling;

• stolen session tokens;

• OAuth abuse;

• API keys;

• cloud identities;

• delegated permissions;

• short-lived infrastructure.

Во многих современных compromise malware вообще отсутствует.

Компрометация Microsoft 365 сегодня может выглядеть следующим образом:

• successful login из новой географии;

• consent для malicious OAuth application;

• создание mailbox forwarding rule;

• выгрузка почтового архива через API;

• persistence через delegated permissions.

При этом:

• endpoint остаётся «чистым»;

• антивирус ничего не обнаруживает;

• malicious binary отсутствует;

• disk artifacts минимальны.

Если SOC ориентирован исключительно на IOC-model, подобная атака может оставаться незаметной неделями.

Именно поэтому современная cybersecurity постепенно смещается в сторону:

• behavior analytics;

• telemetry correlation;

• identity monitoring;

• anomaly detection;

• attack sequence reconstruction.

Telemetry становится фундаментом современной безопасности

Одна из наиболее недооценённых проблем современной кибербезопасности — кризис telemetry visibility.

Многие организации считают, что наличие SIEM автоматически означает наличие visibility.

На практике это не так.

Современный SOC критически зависит не от количества дашбордов, а от качества telemetry architecture.

Без telemetry невозможны:

• DFIR;

• Threat Hunting;

• ATT&CK mapping;

• behavior analytics;

• attack reconstruction;

• detection engineering.

При этом наиболее опасная проблема — не отсутствие детектов, а отсутствие самих данных.

На практике это встречается постоянно:

• отсутствуют DNS logs;

• не собираются PowerShell logs;

• cloud audit trails хранятся несколько дней;

• privileged activity не журналируется;

• authentication telemetry неполная;

• API activity tracking отсутствует.

В результате после compromise организация физически не способна восстановить chronology intrusion.

По сути, расследование начинается с попытки понять:

какие данные вообще существуют.

Именно поэтому telemetry gaps должны рассматриваться как самостоятельный security risk.

Особенно это критично для:

• cloud-native environments;

• hybrid infrastructure;

• telecom operators;

• distributed enterprise ecosystems.

Почему современные атаки ломают линейные модели

Классические модели вроде Cyber Kill Chain сыграли огромную роль в развитии индустрии. Однако современная operational reality всё меньше соответствует линейной модели атаки.

Сегодня compromise развивается циклически.

Атакующий:

• получает initial access;

• проводит internal reconnaissance;

• меняет persistence;

• повторно выполняет privilege escalation;

• перестраивает tooling;

• перемещается между cloud и on-premise;

• использует доверительные отношения между системами;

• адаптирует поведение под telemetry environment.

Современная атака — это не linear attack chain.

Это continuously adaptive intrusion process.

Именно поэтому mature DFIR сегодня концентрируется не на отдельных IOC, а на reconstruction attack narrative.

Ключевой вопрос расследования больше не звучит как:

«Какой malware использовался?»

Сегодня ключевой вопрос другой:

«Каким образом противник развивал контроль над средой?»

SOC как continuously adaptive analytical environment

Одной из наиболее серьёзных ошибок является восприятие SOC как «центра мониторинга SIEM».

Подобная модель была актуальна десять–пятнадцать лет назад.

Современный SOC представляет собой continuously adaptive analytical environment, внутри которого:

• detection logic постоянно изменяется;

• telemetry quality непрерывно оценивается;

• ATT&CK coverage корректируется;

• false positives оптимизируются;

• adversary behavior reassessed continuously;

• detection engineering развивается итерационно.

Фактически mature SOC сегодня всё ближе к engineering discipline.

Detection Engineering постепенно объединяет:

• software engineering;

• behavioral analytics;

• telemetry architecture;

• threat intelligence;

• adversary simulation.

При этом многие организации до сих пор считают, что наличие SIEM already equals detection capability.

Практика показывает обратное:

• SIEM without telemetry useless;

• telemetry without analytics blind;

• analytics without governance unstable;

• governance without operational security ineffective.

Cloud radically changes DFIR

Одним из наиболее фундаментальных изменений последних лет стало разрушение endpoint-centric security model.

Исторически DFIR ориентировался на:

• disk forensics;

• memory analysis;

• malware artifacts;

• filesystem evidence;

• Windows persistence.

Однако cloud-native compromise increasingly leaves no classical forensic artifacts.

Компрометация cloud identity может существовать исключительно:

• на уровне access tokens;

• delegated permissions;

• OAuth grants;

• cloud sessions;

• API activity.

При этом:

• malware отсутствует;

• endpoint легитимен;

• disk artifacts минимальны;

• persistence реализуется исключительно через identity layer.

Это радикально меняет природу расследования.

Современный DFIR increasingly shifts toward:

• identity analytics;

• cloud audit analysis;

• API telemetry;

• session reconstruction;

• behavioral investigation.

Именно поэтому организации, продолжающие строить безопасность исключительно вокруг endpoint visibility, постепенно теряют способность видеть современный compromise.

Forensic readiness как следствие зрелой ISMS

Очень показательно, что многие организации начинают задумываться о forensic readiness только после серьёзного инцидента.

К этому моменту обычно выясняется:

• retention недостаточен;

• logs уже удалены;

• timestamps inconsistent;

• telemetry incomplete;

• chain-of-custody отсутствует;

• evidence handling не определён.

Именно здесь становится очевидно, что forensic readiness невозможно построить исключительно силами SOC.

Она требует:

• governance;

• policies;

• retention management;

• accountability;

• legal coordination;

• process ownership.

Другими словами:
forensic readiness является прямым operational следствием зрелой ISMS.

Именно ISO/IEC 27001 создаёт организационные предпосылки для:

• evidence preservation;

• centralized logging;

• incident governance;

• auditability;

• legal defensibility.

Современная кибербезопасность как многоуровневая система

Главная ошибка большинства дискуссий заключается в попытке найти «главную» модель безопасности.

В реальности зрелая cybersecurity architecture всегда многоуровневая.

Каждый уровень решает собственную задачу.

Governance Layer

Отвечает за:

• управление;

• accountability;

• risk management;

• continuous improvement;

• resource allocation.

Основные frameworks:

• ISO/IEC 27001;

• COBIT;

• Enterprise Risk Management.

Control Layer

Реализует preventive and protective controls:

• MFA;

• segmentation;

• PAM;

• hardening;

• backup security;

• vulnerability management.

Adversary Behavior Layer

Описывает:

• tactics;

• techniques;

• intrusion lifecycle;

• attack progression.

Основные frameworks:

• MITRE ATT&CK;

• Unified Kill Chain;

• Diamond Model.

Detection & Response Layer

Отвечает за:

• monitoring;

• detection;

• investigation;

• containment;

• eradication;

• recovery.

Основные направления:

• SOC;

• DFIR;

• Threat Hunting;

• Detection Engineering.

Adaptive Security Layer

Обеспечивает:

• continuous reassessment;

• telemetry optimization;

• analytics evolution;

• adversary-informed defense;

• purple teaming.

Именно взаимодействие всех этих уровней формирует зрелую кибербезопасность.

Заключение

Противопоставление ISO/IEC 27001 и MITRE ATT&CK является концептуально ошибочным.

Они не конкурируют.
Они функционируют на разных уровнях security architecture.

ISO/IEC 27001 создаёт:

• governance;

• accountability;

• process management;

• risk-based decision making;

• organizational stability.

MITRE ATT&CK:

• систематизирует adversary behavior;

• помогает detection engineering;

• используется для threat-informed defense.

DFIR:

• восстанавливает chronology compromise;

• обеспечивает reconstruction attack narrative;

• выявляет systemic weaknesses.

SOC:

• реализует telemetry-driven monitoring;

• обеспечивает operational visibility;

• поддерживает continuously adaptive detection.

Следовательно, современная cybersecurity не может строиться:

• исключительно на governance;

• исключительно на ATT&CK;

• исключительно на SOC;

• исключительно на DFIR.

Зрелая защита возникает только тогда, когда:

• governance;

• controls;

• telemetry;

• detection;

• response;

• adaptation

интегрируются в единую continuously evolving security ecosystem.

Именно в этом заключается фундаментальное отличие зрелой кибербезопасности от набора разрозненных защитных технологий.