На ринку кібербезпеки вибір рішення часто ускладнюється тим, що більшість продуктів описуються через схожі маркетингові обіцянки: глибока видимість, якісне виявлення, розширена аналітика, швидке реагування. Проблема в тому, що такі тези самі по собі майже не допомагають зрозуміти, як продукт поводитиметься під час реальної атаки.
У цій статті ми спробуємо розібратися, чому у таких випадках корисним орієнтиром можуть стати результати MITRE ATT&CK Evaluations.
Що таке фреймворк MITRE ATT&CK і чому він потрібен для розуміння Evaluations
Щоб правильно інтерпретувати результати MITRE ATT&CK Evaluations, спершу потрібно зрозуміти що таке фреймворк MITRE ATT&CK. Сам MITRE описує його як загальнодоступну базу знань тактик і технік зловмисників, засновану на реальних спостереженнях. ATT&CK також слугує основою для створення моделей загроз і методологій. Тобто Evaluations не існують окремо від нього, а виростають саме з цієї моделі.
У практичному сенсі фреймворк MITRE ATT&CK дає спільну мову для опису атак. Його ключовими елементами є тактики, техніки, підтехніки та конкретні способи реалізації. Він охоплює три технологічні домени: Enterprise, Mobile та ICS. У цій статті пропонуємо зосередитися насамперед на контексті Enterprise, бо саме він має найбільший обсяг публічно представлених ATT&CK Evaluations і найчастіше використовується для порівняння рішень на ринку.
Що таке MITRE ATT&CK Evaluations
MITRE ATT&CK Evaluations – це окрема програма оцінювання, яка перевіряє, як рішення виявляють дії зловмисників, зіставлені з техніками MITRE ATT&CK. MITRE наголошує, що результати є «objective, not comprehensive». Вони чесно показують, що саме зробило рішення в межах конкретних протестованих сценаріїв дій зловмисників, але не претендують на вичерпну відповідь для будь-якого середовища й будь-якого сценарію.
Трішки про історію MITRE ATT&CK Evaluations:
Програма діє з 2018 року. Станом на поточну публічну базу (22.04.2026) MITRE повідомляє про сім циклів оцінювання і п’ятнадцять відтворених сценаріїв в опублікованих ATT&CK Evaluations. Кожен сценарій будується на основі:
- аналізу CTI (Cyber Threat Intelligence),
- практичного відпрацювання командою red team
- та структурованого охоплення технік, зіставлених із фреймворком MITRE ATT&CK.
Як працює методологія MITRE ATT&CK Evaluations
Логіка оцінювання побудована досить послідовно. Спочатку використовується розвідка загроз, далі формується сценарій на базі реальних тактик, технік та прийомів, які використовує зловмисник, після чого red team відтворює відповідні кроки, а результати зіставляються з техніками MITRE ATT&CK. Підхід змінюється разом із розвитком атак та захисних технологій.
Цінність такої методології полягає в тому, що вона дає змогу оцінювати рішення не за загальними заявами виробника, а за тим, як воно виявляє конкретні дії зловмисника. Це допомагає дивитися не лише на факт спрацювання, а й на те, чи бачить рішення потрібні події, чи може надати контекст, наскільки глибокою є телеметрія та чи є в продукті аналітика, яка допомагає зрозуміти, що саме відбувається.
Чому результати MITRE ATT&CK Evaluations важливі при виборі кібербезпекового рішення
Головна причина полягає в прозорості. Evaluations дають публічні технічні дані про те, як продукт поводиться в межах конкретного сценарію, побудованого на реальній моделі атаки. Для ринку це значно корисніше за загальні обіцянки у стилі «висока ефективність» або «просунуте виявлення», бо з’являється можливість порівнювати рішення в єдиній логіці ATT&CK і бачити не лише сильні сторони, а й прогалини.
Друга причина – практична цінність для відбору рішень. Результати MITRE ATT&CK Evaluations добре працюють як сильний орієнтир на етапі формування короткого списку платформ, підготовки PoC або фінального порівняння кількох варіантів. Завдяки їхній деталізації можна оцінити, наскільки рішення відповідає власним пріоритетам організації. Чи достатньо воно «бачить», чи добре подає контекст, чи дозволяє будувати подальшу аналітику та наскільки зрозумілою є його операційна логіка для команди безпеки. Отже, найкорисніше дивитися не лише на загальні підсумки, а на зміст результатів.
Важливо: MITRE ATT&CK Evaluations не визначає переможця.
Універсального способу ранжувати кібербезпекові рішення не існує, адже кожна організація має власні моделі загроз, інфраструктуру та операційні вимоги. Результати оцінювання дають фактичну основу для аналізу, а ключове питання полягає в тому, наскільки ці результати відповідають контексту конкретної організації.
Висновок
Результати MITRE ATT&CK Evaluations справді варто враховувати при виборі кібербезпекового рішення, тому що вони дають незалежні, структуровані та технічно насичені дані про те, як платформа працює проти сценаріїв, описаних у MITRE ATT&CK. Вони допомагають перейти від маркетингових формулювань до предметної розмови про телеметрію, аналітику, контекст і реальну користь рішення для команди безпеки.
Найкращий спосіб використовувати ці результати – сприймати їх як сильний орієнтир, але не як остаточний «вирок» ринку. Саме в розрізі конкретних кібербезпекових рішень практичний аналіз MITRE допомагає краще зорієнтуватися у виборі, оскільки дає змогу співвіднести можливості продукту з власними вимогами, архітектурою середовища, процесами SOC і результатами практичного PoC.
