MITRE ATT&CK - jak wykorzystać framework do ochrony organizacji
Praktyczny przewodnik po MITRE ATT&CK - taktyki, techniki, model ICS, grupy APT. Jak wdrożyć framework w organizacji z matrycą pokrycia i priorytetyzacją.
W grudniu 2025 skoordynowany atak na polską infrastrukturę OZE - ponad 30 farm wiatrowych, elektrociepłownię i firmę produkcyjną - uszkodził firmware kontrolerów RTU i odciął łączność operatorską (raport CERT Polska, styczeń 2026). Analiza incydentu z wykorzystaniem MITRE ATT&CK for ICS pozwoliła zidentyfikować 8 technik użytych przez atakujących - od Exploit Public-Facing Application (T0819) po Damage to Property (T0879). Bez ustrukturyzowanego frameworka tego typu analiza byłaby chaotyczna i niekompletna.
MITRE ATT&CK for ICS pozwala analizować incydenty z precyzją niedostępną przy ogólnikowych modelach zagrożeń. Analiza dowolnej kampanii na infrastrukturę OT może ujawnić kilkanaście konkretnych technik - od sposobu uzyskania pierwszego dostępu po mechanizm destrukcji. Poniżej wyjaśniamy jak działa framework, jakie modele obejmuje, a następnie proponujemy sposoby wykorzystania ATT&CK do zarządzania bezpieczeństwem w organizacji. W SEQRED pomagamy klientom przejść od znajomości frameworka do praktycznych decyzji opartych na danych ATT&CK.
Czym jest MITRE ATT&CK i dlaczego ma znaczenie
Od teorii do praktyki - geneza frameworka
Aby skutecznie chronić organizację, trzeba rozumieć jak działają atakujący. Ta przesłanka stoi za MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) - otwartą bazą wiedzy o taktykach i technikach stosowanych przez napastników, opartą wyłącznie na obserwacjach z rzeczywistych ataków.
MITRE ATT&CK powstał w 2013 roku jako wewnętrzny projekt organizacji MITRE, wspierającej amerykańskie agencje rządowe. Pierwszą publiczną wersję opublikowano w 2015 roku. Od tego czasu framework ewoluował z małej matrycy technik do kompleksowego ekosystemu obejmującego trzy domeny, setki technik i narzędzia do ich analizy.
W odróżnieniu od wcześniejszych modeli - Cyber Kill Chain (Lockheed Martin, 2011) czy Modelu Diamentowego - MITRE ATT&CK nie opisuje jedynie ogólnych faz ataku. Zamiast tego kataloguje konkretne techniki: jak atakujący kradną dane logowania, jak przemieszczają się po sieci, jakiego oprogramowania używają. To przeskok od “co się dzieje” do “jak dokładnie to robią”.
Struktura frameworka - taktyki, techniki, procedury
Framework opiera się na trzech poziomach szczegółowości, z których każdy odpowiada na inne pytanie:
| Poziom | Co opisuje | Pytanie | Przykład |
|---|---|---|---|
| Taktyka | Cel atakującego w danej fazie | ”Co chce osiągnąć?” | Initial Access - uzyskanie pierwszego dostępu |
| Technika | Sposób realizacji taktyki | ”Jak to robi?” | Spearphishing Attachment (T1566.001) |
| Procedura | Konkretna implementacja techniki | ”Jakim narzędziem?” | APT28 wysyła dokument Word z makrem VBA |
Każda technika w bazie MITRE zawiera: opis mechanizmu, powiązane grupy APT, znane oprogramowanie złośliwe, rekomendowane metody detekcji i mitygacji. Od wersji v18 (październik 2025) techniki zawierają również ustrukturyzowane strategie detekcji (Detection Strategies) z konkretnymi zapytaniami analitycznymi.
Trzy domeny ATT&CK
MITRE rozwija trzy odrębne matryce, z których każda pokrywa inny obszar ataku. Aktualne dane pochodzą z wersji v18 (październik 2025):
technik Enterprise
techniki ICS
Detection Strategies
zidentyfikowanych grup APT
Źródło: MITRE ATT&CK v18 (październik 2025), attack.mitre.org
| Model | Taktyki | Techniki | Podtechniki | Grupy | Oprogramowanie | Zastosowanie |
|---|---|---|---|---|---|---|
| Enterprise | 14 | 216 | 475 | 172 | 784 | Sieci korporacyjne (Windows, Linux, macOS, chmura, SaaS) |
| Mobile | 12 | 77 | 47 | 17 | 122 | Urządzenia mobilne (Android, iOS) |
| ICS | 12 | 83 | - | 14 | 23 | Systemy przemysłowe (SCADA, PLC, DCS) |
14 taktyk Enterprise - anatomia ataku
Model Enterprise opisuje pełny cykl ataku w 14 taktykach. Kolejność odpowiada typowej sekwencji działań, ale atakujący nie muszą stosować wszystkich taktyk ani zachowywać kolejności.
| Nr | Taktyka | Opis | Przykładowe techniki |
|---|---|---|---|
| 1 | Reconnaissance | Zbieranie informacji o celu | OSINT, skanowanie infrastruktury |
| 2 | Resource Development | Przygotowanie narzędzi i infrastruktury ataku | Rejestracja domen, kompilacja malware |
| 3 | Initial Access | Uzyskanie pierwszego dostępu do sieci | Spearphishing, exploit publicznej usługi |
| 4 | Execution | Uruchomienie złośliwego kodu | PowerShell, skrypty, API systemowe |
| 5 | Persistence | Utrzymanie dostępu po restarcie | Scheduled tasks, modyfikacja rejestru |
| 6 | Privilege Escalation | Uzyskanie wyższych uprawnień | Exploity jądra, token manipulation |
| 7 | Defense Evasion | Unikanie wykrycia | Obfuskacja, timestomping, rootkity |
| 8 | Credential Access | Kradzież danych uwierzytelniających | Mimikatz, brute force, keylogging |
| 9 | Discovery | Rozpoznanie środowiska ofiary | Enumeracja sieci, usług, użytkowników |
| 10 | Lateral Movement | Przemieszczanie się po sieci | RDP, SMB, pass-the-hash |
| 11 | Collection | Gromadzenie danych do eksfiltracji | Zrzuty ekranu, przechwytywanie e-maili |
| 12 | Command and Control | Zdalna komunikacja z zainfekowanymi systemami | Tunele DNS, HTTPS C2, Cobalt Strike |
| 13 | Exfiltration | Wyprowadzenie danych z organizacji | Szyfrowane kanały, exfiltracja przez C2 |
| 14 | Impact | Destrukcja lub zakłócenie działania | Ransomware, wiper, manipulacja danymi |
ATT&CK for ICS - dlaczego systemy przemysłowe potrzebują odrębnego modelu
Sieci OT różnią się od IT fundamentalnie: priorytetem jest dostępność i bezpieczeństwo fizyczne (safety), nie poufność danych. Atakujący w środowisku ICS mają inne cele - manipulację procesem fizycznym, uszkodzenie urządzeń, przerwanie produkcji. Dlatego model ICS zawiera taktyki nieobecne w Enterprise, takie jak Impair Process Control czy Inhibit Response Function.
Model ICS (wersja v18) obejmuje 12 taktyk, 83 techniki, 14 zidentyfikowanych grup zagrożeń i 23 rodzaje oprogramowania złośliwego. Najaktywniejsze grupy i malware w domenie ICS to:
Grupy zagrożeń ICS - top 5 według liczby technik:
| Grupa | Przypisanie | Techniki ICS | Kluczowe kampanie |
|---|---|---|---|
| Sandworm Team | GRU (Rosja) | 29 | Industroyer (Ukraina 2016), Industroyer2 (Ukraina 2022), CaddyWiper |
| Dragonfly | FSB (Rosja) | 7 | Kampanie przeciwko energetyce USA i Europy, Backdoor.Oldrea |
| TEMP.Veles | CNIIHM (Rosja) | 6 | TRITON/TRISIS - atak na systemy SIS w zakładzie petrochemicznym |
| OilRig | Iran | 5 | Kampanie przeciwko energetyce Bliskiego Wschodu |
| HEXANE | Iran | 5 | Telekomunikacja i energetyka Bliski Wschód |
Źródło: MITRE ATT&CK for ICS v18 (październik 2025), dane z attack.mitre.org.
Oprogramowanie złośliwe ICS - top 5 według liczby technik:
Każdy z poniższych programów to wyspecjalizowane narzędzie zaprojektowane do interakcji z systemami przemysłowymi. W odróżnieniu od typowego malware IT, operują na poziomie protokołów OT i mogą bezpośrednio wpływać na procesy fizyczne.
| Malware | Techniki ICS | Rok | Cel ataku | Wpływ |
|---|---|---|---|---|
| Industroyer | 31 | 2016 | Sieć elektroenergetyczna Ukrainy (IEC 61850, IEC 60870-5-104, OPC DA) | Wyłączenie 1/5 Kijowa na godzinę (17 grudnia 2016) |
| Stuxnet | 29 | 2010 | Irański program nuklearny (S7-300 PLC, WinCC) | Zniszczenie ~1000 wirówek uranowych |
| TRITON | 26 | 2017 | Systemy SIS Triconex w zakładzie petrochemicznym (Arabia Saudyjska) | Próba wyłączenia systemów bezpieczeństwa - mogło doprowadzić do katastrofy |
| INCONTROLLER | 17 | 2022 | Sterowniki Schneider i OMRON (Modbus, OPC UA, CODESYS) | Odkryty przed użyciem - zdolny do wyłączenia SIS |
| Backdoor.Oldrea | 12 | 2014 | Rekonesans w firmach energetycznych (OPC, listy procesów, konfiguracja sieci) | Zbieranie danych o infrastrukturze OT - przygotowanie do dalszych operacji |
Źródło: MITRE ATT&CK for ICS v18, Mandiant Threat Research, CISA advisories.
Nowe grupy zagrożeń - Dragos 2026
Raport Dragos 2026 OT Cybersecurity Year in Review zidentyfikował trzy nowe grupy zagrożeń celujące w infrastrukturę krytyczną: SYLVANITE (access broker eksploatujący podatności w Ivanti, F5, SAP), PYROXENE i AZURITE. Łącznie Dragos śledzi 26 grup zagrożeń OT, z czego 11 było aktywnych w 2025 roku. KAMACITE systematycznie mapował pętle sterowania w amerykańskiej infrastrukturze, a ELECTRUM celował w rozproszone systemy energetyczne w Polsce.
grup zagrożeń OT śledzonych przez Dragos
grup ransomware atakujących przemysł w 2025
organizacji przemysłowych dotkniętych ransomware
wzrost grup ransomware r/r (80 → 119)
Źródło: Dragos 2026 OT Cybersecurity Year in Review (luty 2026)
ATT&CK Navigator - narzędzie do wizualizacji
ATT&CK Navigator to bezpłatne narzędzie webowe umożliwiające interaktywną pracę z matrycą. Pozwala:
- Kolorować techniki używane przez konkretne grupy APT
- Nakładać warstwy (np. pokrycie detekcji vs. techniki zagrożenia)
- Eksportować wizualizacje do raportów i prezentacji
- Porównywać profile różnych grup
W praktyce pozwala to w ciągu kilku minut zobaczyć, które techniki konkretnej grupy APT nie są pokryte przez zabezpieczenia organizacji. Narzędzie jest dostępne pod adresem attack.mitre.org/matrices/ oraz jako aplikacja standalone na GitHub (mitre-attack/attack-navigator).
Jak wykorzystać ATT&CK w zarządzaniu bezpieczeństwem
5 kroków od frameworka do decyzji
Samo poznanie frameworka nie wystarczy. Wartość ATT&CK pojawia się wtedy, gdy staje się narzędziem decyzyjnym - pomaga priorytetyzować inwestycje w bezpieczeństwo, oceniać pokrycie detekcji i planować symulacje ataków. Oto jak podejść do tego systematycznie.
Krok 1: Zidentyfikuj zagrożenia dla swojej branży
Zamiast analizować wszystkie 216 technik Enterprise, zacznij od grup APT aktywnych w Twojej branży i regionie. Dla sektora energetycznego w Europie kluczowe będą Sandworm Team i Dragonfly; dla produkcji - grupy stosujące ransomware z komponentem OT; dla finansów - APT38 i FIN7.
Kluczowe pytania:
- Które grupy APT celują w naszą branżę i region?
- Jakie techniki stosują najczęściej?
- Jakie oprogramowanie złośliwe jest z nimi powiązane?
- Jakie wektory wejściowe preferują?
Krok 2: Zmapuj istniejące zabezpieczenia
Oceń, które techniki z profilu zagrożeń są pokryte przez istniejące zabezpieczenia organizacji (firewalle, EDR, SIEM, segmentacja sieci, kontrola dostępu). Wynik: mapa pokrycia pokazująca, przed czym organizacja jest chroniona, a gdzie są luki.
Krok 3: Przeanalizuj luki i ustal priorytety
Na podstawie porównania zagrożeń z zabezpieczeniami zidentyfikuj luki krytyczne. Priorytetyzuj je według trzech kryteriów: częstotliwości użycia techniki przez grupy zagrożeń, potencjalnego wpływu na organizację i kosztu mitygacji.
Krok 4: Zbuduj plan detekcji i reagowania
Dla priorytetowych technik opracuj reguły detekcji (SIEM, EDR, NDR), scenariusze reagowania i playbooki incydentowe. Od ATT&CK v18 framework dostarcza gotowe strategie detekcji (Detection Strategies) z konkretnymi zapytaniami analitycznymi - warto z nich skorzystać jako punktu wyjścia.
Krok 5: Zwaliduj przez symulacje
Najlepszym sposobem weryfikacji jest testowanie w warunkach zbliżonych do rzeczywistych. Testy penetracyjne i operacje Red Team symulują realne zagrożenia mapowane na ATT&CK, sprawdzając skuteczność zabezpieczeń w kontrolowanych warunkach. Wynik takiego testu to nie tylko raport z podatnościami, ale mapowanie na macierz ATT&CK - widać dokładnie, które techniki zostały wykryte, a które przeszły niezauważone.
Przykład: matryca pokrycia detekcji
Jednym z najpraktyczniejszych zastosowań ATT&CK jest matryca pokrycia detekcji - dokument mapujący techniki na istniejące i planowane mechanizmy wykrywania. Poniżej przykładowy fragment dla sektora energetycznego:
| Technika ATT&CK | ID | Detekcja istniejąca | Detekcja planowana | Priorytet |
|---|---|---|---|---|
| Spearphishing Attachment | T1566.001 | Sandbox e-mail, anty-spam | Analiza behawioralna załączników | Średni |
| Valid Accounts | T1078 | Logi AD, SIEM | MFA enforcement, UEBA | Wysoki |
| Lateral Movement via RDP | T1021.001 | Logi Windows Event | NDR, segmentacja RDP | Wysoki |
| Command and Scripting Interpreter | T1059 | EDR na stacjach | AMSI logging, script block logging | Średni |
| Data Encrypted for Impact | T1486 | Canary files | EDR behavioral, immutable backups | Krytyczny |
| Exploit Public-Facing Application | T0819 (ICS) | Firewall IDS | Patch management OT, monitoring anomalii | Krytyczny |
| Manipulation of Control | T0831 (ICS) | Brak | DPI protokołów OT, monitoring procesu | Krytyczny |
| Remote Services | T0886 (ICS) | Logi VPN | 2FA, session recording, JIT access | Wysoki |
Porównanie grup APT dla sektora energetycznego
ATT&CK Navigator pozwala wizualnie porównać profile dwóch grup i zidentyfikować techniki wspólne oraz unikalne. Poniżej porównanie dwóch najaktywniejszych grup w sektorze energetycznym - Sandworm Team i Dragonfly.
| Aspekt | Sandworm Team (GRU) | Dragonfly (FSB) |
|---|---|---|
| Aktywność od | 2009 | 2011 |
| Region docelowy | Ukraina, Europa, USA | USA, Europa (w tym Polska) |
| Cel strategiczny | Destrukcja - blackouty, wipery | Rekonesans - przygotowanie do przyszłych operacji |
| Initial Access | Spearphishing, supply chain, exploity | Watering hole, supply chain (trojanizowane updatery) |
| Malware ICS | Industroyer, Industroyer2, CaddyWiper | Backdoor.Oldrea (Havex) |
| Protokoły OT | IEC 61850, IEC 60870-5-104, OPC DA | OPC DA (skanowanie serwerów OPC) |
| Impact | Bezpośrednia manipulacja procesem (blackout) | Gromadzenie danych o topologii OT |
| Techniki ICS | 29 | 7 |
Przykład: matryca priorytetyzacji technik
Nie wszystkie techniki wymagają jednakowej uwagi. Poniższa matryca pomaga ustalić priorytety na podstawie trzech kryteriów. Skala: 1 (niski) - 5 (krytyczny).
| Technika | Częstotliwość | Wpływ | Łatwość mitygacji | Priorytet końcowy |
|---|---|---|---|---|
| Spearphishing (T1566) | 5 | 3 | 3 | Wysoki |
| Valid Accounts (T1078) | 5 | 5 | 2 | Krytyczny |
| Exploit Public-Facing App (T1190) | 4 | 5 | 3 | Krytyczny |
| Supply Chain Compromise (T1195) | 3 | 5 | 1 | Wysoki |
| Data Encrypted for Impact (T1486) | 4 | 5 | 3 | Krytyczny |
| Manipulation of Control (T0831) | 2 | 5 | 2 | Wysoki |
| Remote Services (T0886) | 4 | 4 | 4 | Wysoki |
| Scripting/PowerShell (T1059) | 5 | 3 | 4 | Średni |
Częstotliwość: jak często technika pojawia się w raportach threat intelligence dla danego sektora. Wpływ: potencjalne konsekwencje (5 = wpływ na bezpieczeństwo fizyczne/ciągłość działania). Łatwość mitygacji: 1 = trudna/kosztowna, 5 = łatwa do wdrożenia.
Ograniczenia frameworka
MITRE ATT&CK ma realne ograniczenia, o których warto pamiętać:
- Nakładanie się technik - złożone malware może realizować kilka technik jednocześnie (np. skrypt PowerShell uruchamiany przez CMD, zawierający kod eksfiltracji). Klasyfikacja nie zawsze jest jednoznaczna
- Opóźnienie - nowe techniki pojawiają się w bazie po ich udokumentowaniu przez badaczy, co oznacza opóźnienie wobec najnowszych zagrożeń
- Nie zastępuje analizy ryzyka - framework kataloguje “jak”, ale nie odpowiada na “czy to dotyczy mojej organizacji”. Wymaga kontekstu branżowego i oceny ryzyka
- Model ICS jest młodszy - 83 techniki ICS wobec 200+ Enterprise oznacza, że pewne scenariusze mogą nie być jeszcze skatalogowane
Mapowanie kontroli NIST SP 800-53
Gdy już wiadomo, które techniki są priorytetowe, naturalne pytanie brzmi: jakie kontrole standardu NIST SP 800-53 je adresują? Poniżej kluczowe mapowania dla najczęstszych technik - przydatne przy sporządzaniu dokumentacji zgodności (NIS2, DORA, IEC 62443):
| Technika ATT&CK | Kontrole NIST SP 800-53 | Opis kontroli |
|---|---|---|
| Spearphishing (T1566) | SI-3, SI-4, SI-8 | Ochrona przed malware, monitoring systemu, ochrona przed spamem |
| Valid Accounts (T1078) | IA-2, IA-5, AC-2 | Uwierzytelnianie wieloskładnikowe, zarządzanie poświadczeniami, zarządzanie kontami |
| Lateral Movement (T1021) | AC-3, AC-4, SC-7 | Wymuszanie dostępu, kontrola przepływu, ochrona granic |
| Data Encrypted for Impact (T1486) | CP-9, CP-10, SI-4 | Kopie zapasowe, odtwarzanie systemu, monitoring |
| Exploit Public-Facing App (T1190) | SI-2, RA-5, CM-7 | Aktualizacje, skanowanie podatności, minimalizacja funkcji |
| Remote Services OT (T0886) | AC-17, IA-2, AU-2 | Zdalny dostęp, uwierzytelnianie, audyt zdarzeń |
| Manipulation of Control (T0831) | SI-4, SC-7, PE-3 | Monitoring, ochrona granic, kontrola dostępu fizycznego |
Źródło: NIST SP 800-53 Rev. 5, mapowanie MITRE ATT&CK Mitigations.
Checklist gotowości do wdrożenia ATT&CK
Poniższa lista kontrolna pozwala ocenić, na jakim etapie jest organizacja i co wymaga uzupełnienia przed pełnym wdrożeniem frameworka.
| Etap | Element | Opis |
|---|---|---|
| 1. Identyfikacja zagrożeń | Profil branżowy | Zidentyfikowane grupy APT aktywne w branży i regionie |
| Priorytetowe techniki | Lista 15-20 najistotniejszych technik dla organizacji | |
| Źródła threat intelligence | Subskrypcja feedów CTI (MITRE, CISA, sektorowe ISAC) | |
| 2. Ocena pokrycia | Inwentaryzacja narzędzi | Lista narzędzi bezpieczeństwa z mapowaniem na techniki ATT&CK |
| Matryca pokrycia | Wizualizacja w ATT&CK Navigator - techniki pokryte vs. niepokryte | |
| Analiza luk | Raport z krytycznymi lukami i rekomendacjami | |
| 3. Budowa detekcji | Reguły SIEM/EDR | Reguły detekcji dla priorytetowych technik |
| Playbooki incydentowe | Procedury reagowania mapowane na taktyki ATT&CK | |
| Strategie detekcji (v18) | Wykorzystanie Detection Strategies z bazy ATT&CK | |
| 4. Walidacja | Testy penetracyjne | Symulacja wybranych technik w kontrolowanych warunkach |
| Red Team / Purple Team | Kompleksowa symulacja kampanii APT | |
| Metryki detekcji | Czas wykrycia (TTD), procent pokrycia technik, false positive rate | |
| 5. Ciągłe doskonalenie | Aktualizacje bazy | Śledzenie nowych wersji ATT&CK (wydania co ~6 miesięcy) |
| Retrospektywa incydentów | Mapowanie każdego incydentu na techniki ATT&CK | |
| Raportowanie | Cykliczne raporty pokrycia dla zarządu i zespołu technicznego |
Źródła
- MITRE ATT&CK v18 (październik 2025)
- MITRE ATT&CK for ICS v17 (kwiecień 2025)
- ATT&CK Navigator - narzędzie do wizualizacji matrycy
- NIST SP 800-53 Rev. 5
- CERT Polska - raporty roczne
- CISA Alert “Poland Energy Sector Cyber Incident” (luty 2026)
- CrowdStrike 2025 MITRE ATT&CK Enterprise Evaluation
- Dragos 2026 OT Cybersecurity Year in Review - dane o grupach zagrożeń ICS
- SecurityWeek - MITRE Unveils ATT&CK v18