Индекс АРТ-готовности

Год назад мы запустили Standoff Defend — онлайн-полигон для повышения готовности бизнеса к отражению APT-атак.

За это время мы поняли одно: большинство команд уверены в своей готовности — до первой реальной APT-атаки.
Ответьте честно на 12 вопросов и узнайте свой индекс APT-готовности.

Вопрос 1. Отслеживаете ли вы аномалии DNS-resolve и есть ли у вас регламент их расследования?

Нет, DNS-аномалии (NXDOMAIN spikes, редкие домены, DGA-like patterns) не отслеживаем = 0

Отдельные метрики смотрим эпизодически, но формального процесса расследования нет = 1

Отслеживаем аномалии по хостам/подсетям и расследуем их в критичных сегментах или по отдельным use cases = 2

Есть регулярный мониторинг DNS-аномалий, понятные пороги/правила и формализованное расследование с фиксацией результата = 3

NXDOMAIN-шторм — классический признак DGA (алгоритмов генерации доменов), которые используют многие APT-группировки.

Вопрос 2. Ваша команда видит и анализирует зашифрованный трафик?

Не знаем, какую часть зашифрованного трафика видим, и не используем его метаданные в мониторинге = 0

Видим только базовые сетевые параметры, но не анализируем TLS-метаданные, SNI, сертификаты, JA3/JA4 или иные признаки = 1

Анализируем метаданные зашифрованного трафика и применяем selective inspection/дополнительный контроль для критичных сегментов или сценариев = 2

Есть зрелая модель видимости encrypted traffic: метаданные, сегментированные политики анализа, исключения, контроль приватности и регулярный пересмотр правил = 3

Современные APT-группировки шифруют все. Более 90% трафика в крупных сетях — TLS.

Вопрос 3. Насколько системно вы выявляете использование легитимных утилит и административных средств в нетипичном контексте?

Не ищем такие сценарии — считаем легитимные инструменты низкорисковыми = 0

Отдельные случаи видим, но правил и устойчивого процесса расследования нет = 1

Есть сценарии выявления по ключевым утилитам, и мы расследуем их хотя бы на критичных системах/учетных записях = 2

Есть устойчивые use cases по LOLBins/dual-use tooling, контекстная валидация и обязательное расследование подозрительных эпизодов = 3

APT-группировки обходят защиты через технику Living-off-the-Land — использование легитимных утилит операционных систем.

Вопрос 4. Есть ли у вас сценарии выявления credential access и identity abuse, и проверялись ли они на практике?

Нет, отдельные техники (например, Kerberoasting, DCSync, atypical SPN requests, unsecured credentials) не выделяем в detection-практике = 0

Мы знаем эти техники, но специальных сценариев выявления или регулярной проверки у нас нет = 1

Есть правила/гипотезы по части таких техник, и они применяются хотя бы в критичной identity-среде или на учениях = 2

Есть набор сценариев выявления credential abuse, они регулярно тестируются, пересматриваются и используются в расследованиях = 3

Kerberoasting — одна из самых популярных техник кражи учетных данных в домене.

Вопрос 5. Сколько времени занимает построение полной временной линии подтвержденного инцидента?

Полноценный таймлайн обычно не строим = 0

Несколько дней — данные приходится собирать и сводить вручную из разных систем = 1

Часы — есть инструменты и процесс, но часть работы остается ручной = 2

Минуты или десятки минут — таймлайн собирается автоматически или полуавтоматически из скоррелированных событий = 3

Без четкой временной линии невозможно оценить масштаб атаки: пока аналитики разбираются несколько дней, злоумышленник успевает завершить операцию и скрыть следы.

Вопрос 6. Выполняется ли в процессе расследования подозрительной активности корреляция событий идентификации (identity) с endpoint- и cloud/infra-логами?

Нет, эти источники живут отдельно и обычно анализируются разными командами = 0

Технически данные доступны, но корреляция выполняется нерегулярно и в основном вручную отдельными специалистами = 1

Реализованы рабочие сценарии корреляции (identity + endpoint + другие ключевые источники), которые применяются в расследованиях = 2

Корреляция встроена в процессы и/или автоматизирована; подобные сценарии регулярно используются на этапе триажа и расследования = 3

APT-группировки атакуют через AD (Golden Ticket, DCSync, Kerberoasting) и сразу переходят на хосты. Корреляция AD + Endpoint позволяет увидеть полную картину.

Вопрос 7. Имела ли команда опыт расследования сложных техник управления (C2) и обхода средств защиты за последние 12 месяцев?

Нет, и отсутствует уверенность в способности оперативно обработать подобный инцидент = 0

Да, но только в учебном формате или как единичный эпизод без закрепления практики = 1

Да, был хотя бы один реальный или хорошо отработанный учебный кейс со сложной сетевой/поведенческой механикой = 2

Да, по таким кейсам сформированы плейбуки, внедрены улучшения в детектировании, и накоплена практическая экспертиза команды = 3

Сложные механики C2 и обхода средств защиты часто используются в целевых атаках, поэтому важно понимать, как команда справляется с такими инцидентами на практике.

Вопрос 8. Как часто команда проводит проактивный threat hunting, а не только реагирует на алерты?

Никогда — работаем только реактивно = 0

Раз в квартал или реже = 1

Не реже одного раза в месяц = 2

Еженедельно или по постоянному циклу, с выделенным временем, людьми или backlog hunting-гипотез = 3

Регулярный проактивный threat hunting сильно повышает шанс обнаружить сложные атаки, которые не попадают в стандартные алерты.

Вопрос 9. Бывали ли у вас случаи, когда атака или подозрительная активность были замечены по поведенческим и контекстным признакам до автоматического вердикта EDR/AV?

Нет, в основном полагаемся на сигнатурные или продуктовые вердикты = 0

Да, но это были только простые аномалии без сложного расследования = 1

Да, мы выявляли подозрительную активность по контексту, цепочке событий или поведению до автоматического подтверждения защитным средством = 2

Да, и такие кейсы документируются, используются для обучения и улучшают detection/use cases = 3

APT-группировки обходят сигнатурные защиты. Умение обнаруживать атаки до срабатывания EDR — высший пилотаж.

Вопрос 10. Проводится ли threat hunting по гипотезам, связанным с актуальными техниками атак, с использованием специализированных киберполигонов или практических платформ?

Нет, threat hunting как практика отсутствует = 0

Гипотезы формулируются эпизодически, но системной отработки на практике нет = 1

Используем отдельные практические платформы/полигоны для отработки гипотез эпизодически = 2

Threat hunting является регулярным процессом: гипотезы формируются, проверяются, а результаты влияют на детектирование и процессы SOC = 3

Без регулярной отработки гипотез на специализированных платформах или полигонах сложно оценить реальную эффективность охоты на угрозы и подготовленность команды к нестандартным сценариям атак.

Вопрос 11. Разработаны ли плейбуки реагирования на типовые атаки и отрабатываются ли они на практике?

Нет, формализованные сценарии реагирования отсутствуют = 0

Существуют отдельные инструкции, но они не проходят регулярную практическую отработку = 1

Плейбуки разработаны и периодически отрабатываются на киберполигонах или в тестовой среде = 2

Плейбуки регулярно применяются, тестируются на киберполигоне с эмуляцией APT-атак, автоматизируются и актуализируются по результатам = 3

Плейбуки, которые не тестируются на практике, часто оказываются бесполезными в реальной атаке. Только регулярная отработка на киберполигоне подтверждает их работоспособность.

Вопрос 12. Отрабатывались ли комплексные сценарии атак (например, initial access → lateral movement → C2 → impact) на специализированных киберполигонах или в рамках киберучений?

Нет, комплексные сценарии атак не отрабатываются = 0

Есть понимание этапов атак, но практическая отработка ограничена или отсутствует = 1

Проводились отдельные комплексные киберучения / тренировались на киберполигонах = 2

Регулярно проводятся комплексные киберучения / тренировки на киберполигонах, результаты которых используются для улучшения detection, реагирования и обучения команды = 3

Реальная APT-атака — это связанная цепочка этапов, и лишь комплексные сценарии на киберполигонах позволяют убедиться, что команда умеет работать с полной kill chain, а не только с отдельными техниками.

Красная зона (0–12 баллов)
Критические пробелы. Ваша команда не готова к APT-атаке.

Вы не отслеживаете ключевые аномалии (DNS, зашифрованный трафик, LOLBins), не строите таймлайн атаки, не проводите проактивный хантинг. Команда не тренируется на реальных сценариях. При реальной APT-атаке вы, скорее всего, даже не узнаете о вторжении, пока не будет поздно.
Риск для бизнеса: Атака останется незамеченной неделями. Ущерб — кража данных, шифрование, остановка бизнеса на дни и недели.
Что делать:
Быстрые шаги (1–2 недели):

Включить базовое логирование;
Настроить 5–10 базовых детектов (подозрительные PowerShell/LOLBins, аномальные логины);
Начать строить таймлайн инцидента хотя бы вручную (Excel или SIEM).

Среднесрочно (1–2 месяца):

Ввести регулярный разбор инцидентов (post-incident review);
Запустить базовый threat hunting (1 гипотеза в неделю);
Провести первые учебные сценарии (кража учетных данных, простейший C2)
Начать тренировки на Standoff Defend

Standoff Defend — онлайн-полигон с эмуляцией 15 APT-группировок и покрытием до 70% тактик MITRE ATT&CK. Ваша команда начнет с простых сценариев, освоит базовые техники обнаружения и расследования, научится отличать реальную атаку от ложных срабатываний.

Записаться на демо Standoff Defend

Желтая зона (13–24 балла)
Средний уровень готовности к APT-атакам. Есть над чем работать.

Базовые механизмы обнаружения и расследования есть, но работают несистемно. Где-то вы молодцы, где-то есть пробелы. Команда тренируется, но эпизодически. Сложные APT-атаки могут пройти незамеченными, а расследование займет часы, а не минуты.
Риск для бизнеса: Сложные APT-атаки могут остаться незамеченными. Время расследования — часы, что может быть критично для остановки распространения атаки.
Что делать:
Быстрые шаги (1–2 недели):

Описать набор ключевых сценариев атак;
Ввести плейбуки для типовых инцидентов;
Обогатить корреляцию для областей identity, endpoint, network.

Среднесрочно (1–2 месяца):

Проверять детекты через эмуляцию атак;
Начать измерять MTTR, время триажа, покрытие MITRE ATT&CK.
Запустить регулярные тренировки на Standoff Defend

Standoff Defend — онлайн-полигон с эмуляцией 15 APT-групп и покрытием до 70% тактик MITRE ATT&CK. Ваша команда перейдет от эпизодических тренировок к регулярной отработке. Углубит навыки в проблемных зонах: корреляция логов, построение таймлайнов, выявление credential abuse.

Записаться на демо Standoff Defend

Зеленая зона (25–36 баллов)
Высокий уровень готовности к APT-атакам. Вы — в числе лучших.

У вас есть системное обнаружение, расследование, проактивный хантинг и регулярная практика. Команда готова к большинству APT-атак.
Риск для бизнеса: Минимальный. Но угрозы эволюционируют, и то, что работало вчера, может не сработать завтра.
Что делать:

Усложнять сценарии атак;
Автоматизировать триаж и реагирование
Постоянно валидировать детекты (BAS / эмуляция атак)
Регулярно тренироваться на самых актуальных сценариях атак на Standoff Defend

Standoff Defend — онлайн-полигон с эмуляцией 15 APT-групп и покрытием до 70% тактик MITRE ATT&CK. Даже лучшим командам нужна практика. Наши сценарии обновляются по мере появления новых техник атак. Держите команду в тонусе, тренируйтесь на сложных кейсах и будьте на шаг впереди.

Записаться на демо Standoff Defend

Шаг: