На рынке кибербезопасности выбор решения часто осложняется тем, что большинство продуктов описываются похожими маркетинговыми обещаниями: глубокая видимость, качественное выявление, расширенная аналитика, быстрое реагирование. Проблема в том, что такие тезисы сами по себе почти не помогают понять, как продукт будет вести себя во время реальной атаки.
В этой статье мы попытаемся разобраться, почему в таких случаях полезным ориентиром могут стать результаты MITRE ATT&CK Evaluations.
Что такое фреймворк MITRE ATT&CK и почему он нужен для понимания Evaluations
Чтобы правильно интерпретировать результаты MITRE ATT&CK Evaluations, сначала нужно понять, что такое фреймворк MITRE ATT&CK. Сам MITRE описывает его как общедоступную базу знаний тактик и техник злоумышленников, основанную на реальных наблюдениях. ATT&CK также служит основой создания моделей угроз и методологий. То есть Evaluations не существуют отдельно от него, а произрастают именно из этой модели.
В практическом смысле фреймворк MITRE ATT&CK дает общий язык для описания атак. Его ключевыми элементами являются тактики, техники, подтехники и конкретные способы реализации. Он включает три технологических домена: Enterprise, Mobile и ICS. В этой статье мы предлагаем сосредоточиться прежде всего на контексте Enterprise, поскольку именно он имеет наибольший объем публично представленных ATT&CK Evaluations и чаще всего используется для сравнения решений на рынке.
Что такое MITRE ATT&CK Evaluations
MITRE ATT&CK Evaluations – это отдельная программа оценивания, проверяющая, как решения выявляют действия злоумышленников, сопоставленные с техниками MITRE ATT&CK. MITRE отмечает, что результаты «objective, not comprehensive». Они честно показывают, что именно сделало решение в рамках конкретных протестированных сценариев действий злоумышленников, но не претендуют на исчерпывающий ответ для любой среды и сценария.
Немного об истории MITRE ATT&CK Evaluations:
Программа действует с 2018 года. По состоянию на текущую публичную базу (22.04.2026) MITRE сообщает о семи циклах оценки и пятнадцати воспроизведенных сценариях в опубликованных ATT&CK Evaluations. Каждый сценарий строится на основе:
- анализа CTI (Cyber Threat Intelligence),
- практической отработки командой red team
- и структурированный охват техник, сопоставленных с фреймворком MITRE ATT&CK.
Как работает методология MITRE ATT&CK Evaluations
Логика оценивания построена достаточно последовательно. Сначала используется разведка угроз, затем формируется сценарий на базе реальных тактик, техник и приемов, которые использует злоумышленник, после чего Red team воспроизводит соответствующие шаги, а результаты сопоставляются с техниками MITRE ATT&CK. Подход меняется вместе с развитием атак и защитных технологий.
Ценность такой методологии состоит в том, что она позволяет оценивать решение не по общим заявлениям производителя, а по тому, как оно выявляет конкретные действия злоумышленника. Это помогает смотреть не только на факт срабатывания, но и на то, видит ли решение нужные события, может ли предоставить контекст, насколько глубока телеметрия и есть ли в продукте аналитика, которая помогает понять, что именно происходит.
Почему результаты MITRE ATT&CK Evaluations важны при выборе решения кибербезопасности
Главная причина состоит в прозрачности. Evaluations дают публичные технические данные о том, как продукт ведет себя в пределах конкретного сценария, построенного на реальной модели атаки. Для рынка это гораздо полезнее общих обещаний в стиле «высокая эффективность» или «продвинутое выявление», так как появляется возможность сравнивать решения в единой логике ATT&CK и видеть не только сильные стороны, но и пробелы.
Вторая причина – практическая ценность для отбора решений. Результаты MITRE ATT&CK Evaluations хорошо работают как сильный ориентир на этапе формирования короткого списка платформ, подготовки PoC или финального сравнения нескольких вариантов. Благодаря их детализации можно оценить, насколько решение отвечает своим приоритетам организации. Достаточно ли оно «видит», хорошо ли представляет контекст, позволяет ли строить дальнейшую аналитику и насколько понятна его операционная логика для команды безопасности. Итак, самое полезное смотреть не только на общие итоги, но и на содержание результатов.
Важное замечание: MITRE ATT&CK Evaluations не определяет победителя.
Универсального способа ранжировать решения в сфере кибербезопасности не существует, ведь у каждой организации есть собственные модели угроз, инфраструктура и операционные требования. Результаты оценки дают фактическую основу для анализа, а ключевой вопрос состоит в том, насколько эти результаты соответствуют контексту конкретной организации.
Вывод
Результаты MITRE ATT&CK Evaluations действительно следует учитывать при выборе решения кибербезопасности, так как они дают независимые, структурированные и технически насыщенные данные о том, как платформа работает против сценариев, описанных в MITRE ATT&CK. Они помогают перейти от маркетинговых формулировок к предметному разговору о телеметрии, аналитике, контексте и реальной пользе решения для команды безопасности.
Лучший способ использовать эти результаты – воспринимать их как сильный ориентир, но не как окончательный приговор рынка. Именно в разрезе конкретных решений кибербезопасности практический анализ MITRE помогает лучше сориентироваться в выборе. Он позволяет соотнести возможности продукта с собственными требованиями, архитектурой среды, процессами SOC и результатами практического PoC.
