MLSecRecommendations
Глава 23 · Безопасность

Глава 23. MITRE ATLAS на русском языке

~38 мин38 мин осталось 8 574 словОбновлено 13 мая 2026 г.

Глава 23. MITRE ATLAS на русском языке

Версия: 1.0 Дата актуализации: 2026-04-22 Привязка к ATLAS: v5.4.0 (февраль 2026) Статус: неофициальный перевод и адаптация

Disclaimer

Это неофициальный русский перевод и структурированный обзор MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems). MITRE не участвовал в переводе и не подтверждает точность формулировок. Используется под лицензией Apache 2.0 MITRE (для STIX-бандлов и описаний).

Источник истины: atlas.mitre.org. При расхождениях приоритет у английского оригинала.

Существующий перевод ФБИТ ИТМО 2023 года (Хабр) покрывает более раннюю версию ATLAS и не содержит техник LLM и GenAI, которые добавлены в 2024 и 2025 годах. Этот документ синхронизирован с актуальной матрицей v5.4.0.

По данным ATLAS Fact Sheet v5.4.0 содержит 16 тактик, 84 техники, 56 под-техник, 32 митигации, 42 кейса.

1. Что такое MITRE ATLAS

ATLAS это публичная knowledge base тактик и техник противника, применяемых против систем искусственного интеллекта и машинного обучения. Аналог ATT&CK, но сфокусирован на специфике ML и GenAI.

Цель матрицы: дать защитникам, красным командам, аудиторам и регуляторам общий словарь и методологию для описания атак на AI.

ATLAS поддерживается MITRE Corporation совместно с Microsoft, Bosch, IBM, NVIDIA, Airbus, Splunk, Salesforce, ФБР и академией. Проект запущен в 2020 году как Adversarial ML Threat Matrix, переименован в ATLAS в 2021 году.

Матрица обновляется поквартально. По состоянию на апрель 2026 актуальна v5.4.0.

Характеристики v5.4.0:

  • 16 тактик (колонки матрицы, стадии атаки).
  • 84 техники (способы достижения целей внутри тактики).
  • 56 под-техник (конкретные варианты).
  • 32 митигации (меры противодействия).
  • 42 задокументированных case study (реальные инциденты).

Данные доступны в форматах:

  • HTML на atlas.mitre.org для ручного изучения.
  • STIX 2.1 bundle для импорта в TIP, SIEM, SOAR.
  • YAML и JSON на github.com/mitre-atlas/atlas-data.
  • ATLAS Navigator (форк ATT&CK Navigator) для построения карт покрытия.

2. Отличия ATLAS от ATT&CK

ATT&CK описывает атаки на классические ИТ-системы: endpoint, сеть, облако, контейнеры, SCADA. ATLAS надстраивает над этим слой, специфичный для ML.

Аспект ATT&CK ATLAS
Область Классические ИТ ML/AI системы
Число тактик 14 (Enterprise) 16
Новые тактики Initial Access, Execution и т. д. ML Attack Staging, ML Model Access
Примеры техник Spear Phishing, DLL Injection Poisoning, Evasion, Prompt Injection
Атакуемый объект Код, инфраструктура Модель, данные, артефакты
Артефакты Процесс, файл, сетевой пакет Датасет, checkpoint, эмбеддинг, промпт

ATLAS не заменяет ATT&CK, а дополняет. Большинство AI-атак начинаются с классических шагов ATT&CK (фишинг, эксплойт публичного сервиса, compromise CI/CD) и переходят в ATLAS-специфику на этапе воздействия на модель.

Практика: карта угроз AI-системы включает техники из обоих матриц. Например:

  • Initial Access в CI/CD (ATT&CK T1190) дальше приводит к Backdoor ML Model (ATLAS AML.T0018).
  • Phishing (ATT&CK T1566) дальше приводит к Credential Access к ML registry и Exfiltration via ML Inference API (ATLAS AML.T0024).

3. Структура матрицы

graph TD
    T["Тактика: цель атакующего"] --> TECH["Техника: способ"]
    TECH --> SUB["Под-техника: конкретный вариант"]
    TECH --> MIT["Митигация: противодействие"]
    TECH --> CS["Case Study: реальный инцидент"]
    SUB --> MIT
    SUB --> CS
    MIT --> REF["Ссылка на NIST/ISO/OWASP"]

Термины:

  • Тактика (TAxxxx): фаза атаки. Примеры: Reconnaissance, Initial Access, ML Attack Staging, Impact.
  • Техника (Txxxx): как противник достигает цели тактики. Пример: AML.T0051 LLM Prompt Injection.
  • Под-техника (Txxxx.yyy): конкретный вариант техники. Пример: AML.T0051.000 Direct, AML.T0051.001 Indirect.
  • Митигация (Mxxxx): контрмера. Пример: AML.M0005 Control Access to ML Models and Data at Rest.
  • Case study: верифицированный кейс с разбором шагов и техник. Пример: AML.CS0000 Evasion of Deep Learning Detector for Malware C&C Traffic.

Префикс AML указывает на принадлежность к Adversarial Machine Learning domain.


4. Список тактик

Актуальный набор на v5.4.0. Порядок соответствует типичной kill chain.

ID Тактика Цель атакующего
AML.TA0002 Reconnaissance (Разведка) Собрать информацию о цели и её ML-системе
AML.TA0003 Resource Development (Развитие ресурсов) Подготовить инструменты, инфраструктуру, датасеты
AML.TA0004 Initial Access (Начальный доступ) Закрепиться в периметре жертвы
AML.TA0005 ML Model Access (Доступ к модели) Получить возможность отправлять запросы к модели или её артефактам
AML.TA0006 Execution (Исполнение) Выполнить код в среде жертвы
AML.TA0007 Persistence (Закрепление) Обеспечить долгое присутствие
AML.TA0008 Privilege Escalation (Повышение привилегий) Расширить права в ML-стеке
AML.TA0009 Defense Evasion (Обход защит) Уйти от средств обнаружения
AML.TA0010 Credential Access (Доступ к учётным данным) Получить ключи к ML-platforms, registry, датасетам
AML.TA0011 Discovery (Исследование) Изучить архитектуру, ontology, гиперпараметры модели
AML.TA0012 Collection (Сбор) Собрать датасеты, веса, логи, эмбеддинги
AML.TA0013 ML Attack Staging (Подготовка ML-атаки) Собрать proxy-модель, crafted inputs, backdoor-датасет
AML.TA0014 Exfiltration (Эксфильтрация) Вывести данные или артефакты
AML.TA0015 Impact (Воздействие) Нарушить работу, исказить результаты, нанести репутационный или финансовый ущерб
AML.TA0016 Command and Control (Управление и контроль) Удалённо управлять скомпрометированной AI-системой
AML.TA0017 (резерв под новые тактики в будущих версиях) -

Полный актуальный список смотрите в ATLAS Matrix.

Тактики ATLAS v5.4 — справочник по 14 категориям

{
  "id": "ch23-atlas-tactics",
  "title": "MITRE ATLAS v5.4 — тактики",
  "description": "Раскройте запись — внутри типичные техники, индикаторы для blue team и ссылка на atlas.mitre.org. Порядок соответствует kill chain. Отметка «пройдено» сохраняется локально между сессиями.",
  "shuffle": false,
  "cards": [
    {
      "tag": "тактика",
      "front": "AML.TA0002",
      "subFront": "Reconnaissance · Разведка",
      "back": "Сбор информации о цели до атаки.\n\nТипичные техники: AML.T0000 Search for Victim's Publicly Available Research Materials, AML.T0001 Search Application Repositories.\n\nИндикаторы для blue team: повторяющиеся probing-запросы по model card, обращения к /metrics или версии артефактов.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0002"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0003",
      "subFront": "Resource Development · Развитие ресурсов",
      "back": "Атакующий готовит инструментарий: proxy-модели, crafted-датасеты, инфраструктуру для adversarial training.\n\nКлюч: AML.T0008 Acquire Public ML Artifacts, AML.T0017 Develop Capabilities.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0003"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0004",
      "subFront": "Initial Access · Начальный доступ",
      "back": "Закрепление в инфраструктуре жертвы. ML-специфика: AML.T0010 ML Supply Chain Compromise — компрометация публичных весов, датасетов, MCP-серверов.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0004"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0005",
      "subFront": "ML Model Access · Доступ к модели",
      "back": "Атакующий получает возможность query API или скачать веса.\n\nAML.T0040 ML Model Inference API Access — самый частый канал; AML.T0044 Full ML Model Access — самый разрушительный.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0005"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0006",
      "subFront": "Execution · Исполнение",
      "back": "Выполнение кода в среде жертвы. ML-специфика: AML.T0011 User Execution → жертва запускает скомпрометированный pickle / Jupyter notebook; AML.T0050 Command and Scripting через prompt injection в агенте.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0006"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0007",
      "subFront": "Persistence · Закрепление",
      "back": "Обеспечение долгого присутствия. AML.T0018 Backdoor ML Model — встраивание trigger в веса; AML.T0020 Poison Training Data — внедрение в датасет, чтобы триггер сохранился через переобучение.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0007"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0008",
      "subFront": "Privilege Escalation · Повышение привилегий",
      "back": "Расширение прав внутри ML-стека. Часто через скомпрометированный agent tool, который имеет broader scope, чем пользователь.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0008"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0009",
      "subFront": "Defense Evasion · Обход защит",
      "back": "Уход от detection. AML.T0015 Evade ML Model — adversarial examples; AML.T0054 LLM Jailbreak — обход guardrails через role-play / Crescendo / Skeleton Key.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0009"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0010",
      "subFront": "Credential Access · Доступ к учёткам",
      "back": "Получение ключей к ML-платформам, registry, датасетам. Включает AML.T0055 Unsecured Credentials — токены HF / Vertex / OpenAI в открытых notebook'ах.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0010"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0011",
      "subFront": "Discovery · Исследование",
      "back": "Изучение архитектуры жертвы. AML.T0013 Discover ML Model Ontology — определение классов через probing; AML.T0014 Discover ML Model Family — через стиль ответов / артефакты.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0011"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0012",
      "subFront": "Collection · Сбор",
      "back": "Сбор датасетов, весов, эмбеддингов, логов. Конечная цель — данные для proxy-обучения или для прямой эксфильтрации.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0012"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0013",
      "subFront": "ML Attack Staging · Подготовка ML-атаки",
      "back": "Сборка proxy-модели, crafted inputs, backdoor-датасета на стороне атакующего. AML.T0005 Create Proxy ML Model — самый частый префикс к evasion.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0013"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0014",
      "subFront": "Exfiltration · Эксфильтрация",
      "back": "Вывод данных или артефактов. AML.T0024 Exfiltration via ML Inference API (через probing) и AML.T0025 Exfiltration via Cyber Means (классические каналы).",
      "href": "https://atlas.mitre.org/tactics/AML.TA0014"
    },
    {
      "tag": "тактика",
      "front": "AML.TA0015",
      "subFront": "Impact · Воздействие",
      "back": "Финальная цель: нарушить работу, исказить результаты, нанести ущерб. AML.T0034 Cost Harvesting (Denial-of-Wallet); AML.T0048 External Harms — манипуляция деловой логикой через скомпрометированный inference.",
      "href": "https://atlas.mitre.org/tactics/AML.TA0015"
    }
  ]
}

Доступ по подписке#23-mitre-atlas-ru

Дальше — практика и артефакты

Полная версия главы «Глава 23. MITRE ATLAS на русском языке» с готовыми артефактами, шаблонами, чек-листами и подробными процедурами доступна по подписке.

16% прочитано84% в подписке
Внутри:Чек-листыDetection-правилаCI/CD конфигиCompliance артефакты
20таблиц4интерактивов
  • Полный доступ ко всем главам и обновлениям 30 дней
  • Готовые playbook'и, шаблоны и runbook'и под копирование
  • Поддержка автора — paywall не для заработка, а для развития справочника

Можно отменить в любой момент. Возврат средств в первые 7 дней без вопросов.

15. Связи с другими главами


Приложение A. Sample ATLAS Navigator layer (JSON)

Пример layer-файла для ATLAS Navigator, покрывающего корпоративную LLM-шлюз архитектуру:

{
  "name": "Corporate LLM Gateway: Coverage 2026-Q2",
  "version": "5.4.0",
  "domain": "atlas",
  "description": "Покрытие техник корпоративным LLM-шлюзом",
  "techniques": [
    {"techniqueID": "AML.T0051", "score": 85, "comment": "LLM-Guard + NeMo"},
    {"techniqueID": "AML.T0053", "score": 70, "comment": "MCP signing, allowedTools"},
    {"techniqueID": "AML.T0054", "score": 60, "comment": "JailbreakBench regression"},
    {"techniqueID": "AML.T0057", "score": 90, "comment": "Presidio + DLP output"},
    {"techniqueID": "AML.T0062", "score": 50, "comment": "Detection pattern на extraction"},
    {"techniqueID": "AML.T0070", "score": 40, "comment": "RAG provenance частично"},
    {"techniqueID": "AML.T0024", "score": 75, "comment": "Rate-limit + anomaly"},
    {"techniqueID": "AML.T0034", "score": 85, "comment": "FinOps budget-блокировка"}
  ],
  "gradient": {
    "colors": ["#ffffff", "#000000"],
    "minValue": 0,
    "maxValue": 100
  }
}

Файл импортируется в atlas-navigator для визуализации покрытия.


Приложение B. Mapping шаблон для внутреннего Threat Model

Для каждой системы из AI-реестра заполнить таблицу:

Компонент Угроза ATLAS Tactic ATLAS Technique Митигация (AML.Mxxxx) Ответственный Статус
LLM Gateway Prompt Injection TA0007 Defense Evasion T0051.001 Indirect M0015 LLM-Guard AppSec Внедрено
RAG KB Poisoning TA0003 Resource Dev T0070 M0028 Content Validation Data Eng В работе
MCP Server Plugin Compromise TA0006 Execution T0053 M0027 Tool Restrictions Platform Запланировано
Training Pipeline Backdoor TA0007 Persistence T0018.000 M0007 Sanitize + M0013 Signing MLOps Внедрено
Inference API Model Extraction TA0014 Exfiltration T0024.002 M0004 Rate Limit SRE Внедрено

Этот шаблон заполняется в разрезе каждой системы из AI-реестра согласно главе 14.


С чего начать по вашей роли

Threat Intelligence Analyst

Горизонт Действия
День 1 MITRE ATLAS v5.4 изучение. Mapping вашего tech stack на technique IDs.
Неделя 1 Подписка на ATLAS updates (feed). Мониторинг новых case studies.
Месяц 1 Monthly briefing для SOC: top-5 новых techniques, coverage вашей организации.

Detection Engineer

Горизонт Действия
День 1 Mapping existing detections на ATLAS techniques. Gap analysis.
Неделя 1 Priority techniques для purple team: ATLAS Top 10 релевантных вашему stack.
Месяц 1 Sigma/KUMA правила для top techniques. Coverage >= 70%.

Red Team Lead

Горизонт Действия
День 1 Engagement plan по ATLAS tactics: Recon → Access → ML Attack → Exfiltration.
Неделя 1 Playbooks для каждой ATLAS TTP с tools (Counterfit, garak, AgentDojo).
Месяц 1 Quarterly red team exercise с full ATLAS-based scenario.

CISO

Горизонт Действия
День 1 Coverage heatmap: ATLAS techniques x ваш стек. Приоритеты на год.
Неделя 1 Board briefing: ATLAS как industry-standard. Maturity journey.
Месяц 1 Integration с risk register: каждая priority technique имеет control.

Security Architect

Горизонт Действия
День 1 Reference architectures с mitigations для ATLAS top techniques.
Неделя 1 Project templates: какие controls применимы для какого типа AI-системы.
Месяц 1 Published architecture patterns + ATLAS mapping — как artifact для команд.
{"id": "ch23-q1", "question": "MITRE ATLAS — это:", "options": ["Стандарт", "Framework (taxonomy) tactics и techniques атак на AI/ML systems, аналог MITRE ATT&CK для AI; используется для coverage mapping и communication", "Инструмент", "Бенчмарк"], "answer": 1, "explanation": "ATLAS — это framework с tactics (phases) и techniques (specific how). Like ATT&CK для AI. Используется для mapping detections, communication с регуляторами, purple team engagement."}

Конец главы 23.