中文翻译暂不可用,显示俄语原文。
Что такое MITRE ATLAS и как он связан с MITRE ATT&CK?
Краткий тезис
MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems]]) — это фреймворк для классификации и анализа угроз, специфичных для систем искусственного интеллекта (ИИ). Он построен по аналогии с MITRE ATT&CK, но фокусируется на атаках на ML-модели, данные и инфраструктуру. ATLAS расширяет ATT&CK, добавляя тактики и техники, характерные для AI/ML, такие как отравление данных (poisoning) и уклонение (evasion). Знание обоих фреймворков необходимо для построения комплексной защиты в современных SOC.
1. Термины: MITRE ATT&CK и MITRE ATLAS
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge]]) — это глобально признанная база знаний тактик, техник и процедур (TTPs), используемых злоумышленниками при атаках на корпоративные сети, облачные среды, мобильные устройства и промышленные системы. Он служит основой для моделирования угроз, разработки детектов и проведения red team-упражнений.
MITRE ATLAS — это специализированная база знаний, адаптирующая концепцию ATT&CK для угроз, нацеленных на системы ИИ. ATLAS включает тактики и техники, которые учитывают уникальные уязвимости ML-пайплайнов: от компрометации обучающих данных до эксплуатации моделей в production.
Тактика (Tactic) — это цель атаки (например, «Получение доступа к модели»). Техника (Technique) — способ достижения этой цели (например, «Атака через инверсию модели»). Процедура (Procedure) — конкретная реализация техники (например, использование инструмента для восстановления обучающих данных).
2. Структура MITRE ATT&CK
ATT&CK организован в виде матрицы, где строки — тактики, а столбцы — техники. Основные тактики (для enterprise):
| Тактика | Описание |
|---|---|
| Initial Access | Получение начального доступа к сети |
| Execution | Запуск вредоносного кода |
| Persistence | Закрепление в системе |
| Privilege Escalation | Повышение привилегий |
| Defense Evasion | Обход средств защиты |
| Credential Access | Кража учётных данных |
| Discovery | Разведка внутри сети |
| Lateral Movement | Перемещение между узлами |
| Collection | Сбор данных |
| Command and Control | Управление и контроль |
| Exfiltration | Утечка данных |
| Impact | Нарушение работы |
Каждая техника имеет ID (например, T1059 — Command and Scripting Interpreter), описание, примеры использования, рекомендации по обнаружению и смягчению.
3. Структура MITRE ATLAS
ATLAS содержит 14 тактик, многие из которых перекликаются с ATT&CK, но есть и уникальные для AI/ML. Полный список тактик ATLAS (по состоянию на 2025 год):
| № | Тактика | Описание |
|---|---|---|
| 1 | ML Model Access | Получение доступа к модели (например, через API) |
| 2 | ML Attack Staging | Подготовка атаки (сбор информации о модели) |
| 3 | ML Model Poisoning | Отравление модели через манипуляцию обучающими данными |
| 4 | ML Model Evasion | Уклонение от детектирования (adversarial examples) |
| 5 | ML Model Extraction | Извлечение модели (stealing model weights) |
| 6 | ML Model Inference | Инференс-атаки (определение принадлежности данных) |
| 7 | ML Supply Chain Compromise | Компрометация цепочки поставок ML-компонентов |
| 8 | Resource Development | Подготовка ресурсов для атаки (вычислительные мощности) |
| 9 | Initial Access | Начальный доступ (схож с ATT&CK) |
| 10 | Execution | Выполнение кода |
| 11 | Persistence | Закрепление |
| 12 | Privilege Escalation | Повышение привилегий |
| 13 | Defense Evasion | Обход защиты |
| 14 | Exfiltration | Утечка данных |
Техники ATLAS имеют ID с префиксом AML.T (например, AML.T0010 — Adversarial Input).
4. Сравнение ATT&CK и ATLAS
| Характеристика | MITRE ATT&CK | MITRE ATLAS |
|---|---|---|
| Область | Классические IT-атаки (сети, ОС, приложения) | Атаки на AI/ML-системы (модели, данные, пайплайны) |
| Тактики | 14 (enterprise) | 14 (специфичные для ML + общие) |
| Техники | ~200+ | ~60+ (растёт) |
| Уникальные техники | Нет ML-специфичных | Poisoning, Evasion, Extraction, Model Inversion |
| Пересечение | Частичное (Initial Access, Execution и др.) | Многие тактики заимствованы из ATT&CK |
| Целевая аудитория | SOC-аналитики, red teams, threat hunters | Специалисты по безопасности ИИ, ML-инженеры |
| Инструмент визуализации | ATT&CK Navigator | ATLAS Navigator (аналогичный) |
5. Связь между фреймворками
ATLAS не заменяет ATT&CK, а дополняет его. Связь проявляется в нескольких аспектах:
- Наследование тактик: Тактики Initial Access, Execution, Persistence, escalation|Privilege Escalation, Defense Evasion, Exfiltration взяты из ATT&CK и адаптированы для ML-контекста. Например, техника «Chain|Supply Chain Compromise» в ATT&CK (T1195) расширена в ATLAS до «Chain|ML Chain|Supply Chain Compromise» (AML.T0027), где учитываются уязвимости в библиотеках (TensorFlow, PyTorch), предобученных моделях и датасетах.
- Комбинирование атак: Реальная атака на ML-систему часто включает как классические шаги (взлом сервера, кража учётных данных), так и ML-специфичные (отравление модели). SOC-аналитик должен уметь сопоставлять события из обоих фреймворков.
- Общая методология: Оба фреймворка используют одинаковую структуру TTPs, что упрощает интеграцию в SIEM, SOAR и платформы threat intelligence.
- Пример overlap: Техника «Valid Accounts» (T1078) в ATT&CK может быть использована для доступа к ML API, что в ATLAS классифицируется как «ML Model Access» (AML.T0000).
6. Примеры техник ATLAS
AML.T0010 — Adversarial Input (Evasion) Злоумышленник подаёт на вход модели специально сконструированные примеры (adversarial perturbations), чтобы вызвать ошибочную классификацию. Например, наклейка на знак STOP заставляет модель распознать его как знак ограничения скорости.
AML.T0020 — Model Poisoning (Poisoning) Атакующий внедряет вредоносные данные в обучающий набор. Пример: добавление изображений с «backdoor»-триггером в датасет для распознавания лиц, чтобы модель выдавала заданный результат при предъявлении триггера.
AML.T0030 — Model Extraction (Extraction) Через многократные запросы к API модели злоумышленник восстанавливает её веса или архитектуру. Это позволяет создать теневую модель или найти уязвимости.
AML.T0040 — Model Inversion (Inference) Атакующий восстанавливает приватные данные, на которых обучалась модель, используя только доступ к её выходам. Например, из модели, предсказывающей дозировку лекарства, можно восстановить записи пациентов.
7. Применение в безопасности AI-систем
Для SOC-аналитиков:
- Использовать ATLAS для создания детектов на аномалии в ML-пайплайнах (например, резкое изменение распределения предсказаний может указывать на adversarial input).
- Сопоставлять инциденты с техниками ATLAS для классификации угроз.
- Интегрировать ATLAS в playbooks по реагированию (например, при подозрении на poisoning — откатить модель на предыдущую версию).
Для ML-инженеров:
- Проводить threat modeling на этапе проектирования ML-системы, используя ATLAS как чек-лист.
- Внедрять контрмеры: adversarial training, differential privacy, мониторинг дрейфа данных.
Для red teams:
- Планировать атаки на ML-компоненты, используя техники ATLAS.
- Тестировать устойчивость моделей к evasion и extraction.
8. Инструменты и ресурсы
- MITRE ATLAS Navigator — веб-инструмент для визуализации матрицы ATLAS, аналогичный ATT&CK Navigator. Позволяет фильтровать техники, добавлять заметки, экспортировать в JSON.
- MITRE ATT&CK Navigator — для классических техник.
- OWASP Top 10 for LLM — дополняет ATLAS для больших языковых моделей (LLM), фокусируется на prompt injection, data leakage и т.д.
- Adversarial Robustness Toolbox (ART) — библиотека Python для тестирования атак и защит (реализует многие техники ATLAS).
- Foolbox / CleverHans — инструменты для генерации adversarial examples.
Пример кода (использование ART для симуляции evasion):
from art.attacks.evasion import FastGradientMethod
from art.classifiers import TensorFlowV2Classifier
import tensorflow as tf
# Предположим, model — обученная Keras-модель
classifier = TensorFlowV2Classifier(model=model, nb_classes=10, input_shape=(28,28,1))
attack = FastGradientMethod(estimator=classifier, eps=0.2)
x_adv = attack.generate(x=x_test[:10])
9. Роль SOC-аналитика и перспективы
К 2026 году ожидается, что атаки на AI-системы станут массовыми. SOC-аналитики должны:
- Знать оба фреймворка (ATT&CK и ATLAS) для корректной triage инцидентов.
- Уметь отличать ML-специфичные атаки от классических (например, дрейф модели может быть следствием poisoning, а не ошибки данных).
- Использовать ATLAS для enrichment событий в SIEM (добавление тегов AML.T*).
- Проходить сертификацию по ATLAS (MITRE планирует выпустить официальные курсы).
Ограничения ATLAS: фреймворк ещё не так детализирован, как ATT&CK; многие техники не имеют подтверждённых примеров в реальных атаках; быстрое развитие AI приводит к появлению новых векторов, которые не всегда успевают включить.
Пет-проект для закрепления
Задача: Разработать скрипт, который сопоставляет техники ATLAS с соответствующими техниками ATT&CK и выводит матрицу overlap.
Инструменты: Python, библиотеки requests (для API MITRE), pandas, matplotlib.
Шаги:
- Получить данные ATT&CK через официальный STIX-дамп (https://github.com/mitre/cti).
- Получить данные ATLAS через JSON-файл с GitHub (https://github.com/mitre-atlas/atlas-data).
- Для каждой техники ATLAS найти, есть ли в ATT&CK техника с аналогичным названием или целью (например, по полю
x_mitre_attack_spec_versionили ручному маппингу). - Построить heatmap overlap: оси — тактики ATT&CK и ATLAS, цвет — количество общих техник.
- Вывести отчёт: какие техники ATLAS уникальны, а какие заимствованы.
Ожидаемый результат: Вы получите визуализацию и понимание, какие угрозы покрываются только ATLAS (например, poisoning), а какие — общие.
Связь с другими вопросами
| Вопрос | Тема |
|---|---|
| 125 | OWASP Top 10 for LLM |
| 127 | Атаки на RAG-системы (prompt injection, data poisoning) |
| 128 | Защита ML-моделей от adversarial attacks |
| 130 | Безопасность цепочки поставок ML |
| 132 | Мониторинг дрейфа модели и детекция аномалий |
| 140 | Threat modeling для AI-систем |
Навигация
- Предыдущий: 125
- Следующий: 127
- Индекс: 00. Индекс разборов