MITRE пренарежда киберзаплахите с фокус върху ИИ, ICS и реални сценарии

May 5, 2026

MITRE развива рамката към по-оперативна и приложима защита

С пускането на MITRE ATT&CK v19, MITRE прави значителна крачка към по-практическо използване на рамката в реални защитни стратегии. Новата версия въвежда структурни промени, по-дълбока видимост в индустриалните среди и разширено покритие на съвременни заплахи, включително операции, подпомагани от ИИ.

Целта е ясна – ATT&CK да бъде не просто база знания, а инструмент за директно приложение в детекцията, анализа и реакцията срещу атаки.

По-голяма прецизност в индустриалните системи (ICS)

Една от най-съществените промени е разширението на ICS матрицата. Новите под-техники добавят детайлност в области като firmware, комуникации и откриване на системи.

Това позволява:

по-точно картографиране на атаките
по-добро разбиране на индустриалните attack path сценарии
по-ефективно изграждане на защита в OT среда

Например техниката за модификация на firmware вече прави разграничение между системен и модулен firmware, което отразява различните повърхности за атака и нуждите от мониторинг на целостта.

Промени в структурата: по-ясни тактики и техники

ATT&CK v19 въвежда редица структурни подобрения, включително дългоочакваното разделяне на категориите за Defense Evasion. Това води до по-добро разбиране на намеренията на атакуващите и по-прецизно проследяване на техниките.

Добавени са и нови техники като:

блокиране на комуникации, обхващащо както серийни, така и мрежови канали
несигурни креденшъли, включително default и hardcoded пароли
по-детайлно разграничение при откриване на системи и манипулация на контролери

Тези промени правят рамката по-близка до реалните сценарии, с които се сблъскват защитните екипи.

ИИ в атаките: ранни сигнали за нова ера

ATT&CK v19 отразява нарастващата роля на ИИ в кибероперациите. Включени са нови техники като:

използване на публични ИИ услуги за разузнаване
генериране на съдържание чрез автоматизирани или ИИ базирани процеси

Пример за това е документирана кампания, при която ИИ модели се използват за автоматизирано изпълнение на многоетапен шпионски сценарий. В същото време се появяват и първите зловредни програми, които взаимодействат с езикови модели по време на реална операция.

Ключовият извод е, че ИИ не променя фундаментално поведението на атакуващите, но значително увеличава скоростта и мащаба на операциите.

Социалното инженерство като отделна категория

За първи път социалното инженерство получава собствена структура в рамката. Новата техника обединява различни канали – имейл, гласови обаждания, чат платформи – под общ поведенчески модел.

Фокусът се измества от канала към ефекта:

манипулация на потребителя
извършване на легитимно изглеждащи действия
промяна на настройки, достъп или финансови операции

Този подход позволява по-ефективна детекция, базирана на поведение, а не на конкретна технология.

Разширено разузнаване: държавни и хибридни заплахи

ATT&CK v19 разширява значително покритието на заплахи, свързани с държавни ATP. Акцентът пада върху активности, свързани с:

Иран – включително групи и нови инструменти
Китай – с фокус върху инфраструктура и edge устройства

Наблюдава се и разширяване на cross-domain атаките, при които се комбинират IT, мобилни и индустриални среди. Особено внимание се обръща на destructive кампании тип wiper, които вече засягат критична инфраструктура.

Supply chain и масови компромиси

Веригите за доставки също са във фокус, с примери за компрометирани екосистеми като npm, довели до изтичане на креденшъли и масово разпространение на зловреден код.

Това потвърждава тенденцията, че атаките се насочват към: