ISO/IEC 27001:2022 и MITRE ATT&CK в современной архитектуре кибербезопасности: почему их нельзя противопоставлять
MoeImya 44 минуты назад ISO/IEC 27001:2022 и MITRE ATT&CK в современной архитектуре кибербезопасности: почему их нельзя противопоставлять Средний 10 мин 73 Информационная безопасность * Аналитика Recovery Mode В...
Anthropic — What company has the best second artificial intelligence model at the end of June?
В сфере искусственного интеллекта произошло заметное событие. MoeImya 44 минуты назад ISO/IEC 27001:2022 и MITRE ATT&CK в современной архитектуре кибербезопасности: почему их нельзя противопоставлять Средний 10 мин 73 Информационная безопасность * Аналитика Recovery Mode В профессиональной среде информационной безопасности в последние годы всё чаще можно услышать тезис о том, что классические стандарты семейства ISO/IEC 27000 якобы утратили практическую ценность для современной кибербезопасности. Обычно подобная позиция сопровождается утверждениями о том, что реальная защита сегодня строится вокруг MITRE ATT&CK, Threat Hunting, DFIR (Digital Forensics and Incident Response), Detection Engineering и SOC (Security Operations Center), тогда как ISO/IEC 27001 воспринимается исключительно как compliance-framework для аудита и сертификации. Подобная точка зрения стала особенно популярной на фоне роста: ransomware-экосистем; атак на cloud infrastructure; компрометации identity systems; supply-chain атак; злоупотребления легитимными административными инструментами; атак без использования классического malware.
На первый взгляд подобная логика кажется убедительной. Действительно, ISO/IEC 27001:2022 не описывает: lateral movement (горизонтальное перемещение); credential dumping (извлечение учётных данных); persistence techniques (механизмы закрепления); command-and-control; privilege escalation; defense evasion. Из этого многие делают ошибочный вывод:если стандарт не описывает современные атаки, значит он не применим к современной кибербезопасности.
Технические детали
Однако подобная логика основана на фундаментальном методологическом смешении различных архитектурных уровней безопасности. Проблема заключается в том, что: ISO/IEC 27001; MITRE ATT&CK; DFIR; SOC; Threat Hunting; Detection Engineering решают разные задачи и функционируют на разных уровнях одной системы кибербезопасности. Их прямое сравнение методологически некорректно.
Главная ошибка современной дискуссииСегодня в индустрии всё чаще формируется ошибочное противопоставление:либо governance и ISO/IEC 27001,либо ATT&CK и operational security. На практике подобное противопоставление возникает из-за смешения: governance layer; operational layer; detection layer; incident response layer. ISO/IEC 27001 никогда не создавался как модель поведения атакующего.
Его задача — не объяснять, каким образом злоумышленник реализует Kerberos delegation abuse, OAuth persistence или lateral movement через PsExec. Стандарт отвечает на совершенно другие вопросы: как организация управляет безопасностью; как распределяется ответственность; каким образом принимаются risk-based decisions; как обеспечивается accountability; как реализуется continuous improvement; как организуется управление инцидентами; каким образом поддерживается устойчивость процессов безопасности. MITRE ATT&CK, напротив, вообще не занимается governance.
Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.
