Глава 23. MITRE ATLAS на русском языке
Глава 23. MITRE ATLAS на русском языке
Версия: 1.0 Дата актуализации: 2026-04-22 Привязка к ATLAS: v5.4.0 (февраль 2026) Статус: неофициальный перевод и адаптация
Disclaimer
Это неофициальный русский перевод и структурированный обзор MITRE ATLAS (Adversarial Threat Landscape for Artificial-Intelligence Systems). MITRE не участвовал в переводе и не подтверждает точность формулировок. Используется под лицензией Apache 2.0 MITRE (для STIX-бандлов и описаний).
Источник истины: atlas.mitre.org. При расхождениях приоритет у английского оригинала.
Существующий перевод ФБИТ ИТМО 2023 года (Хабр) покрывает более раннюю версию ATLAS и не содержит техник LLM и GenAI, которые добавлены в 2024 и 2025 годах. Этот документ синхронизирован с актуальной матрицей v5.4.0.
По данным ATLAS Fact Sheet v5.4.0 содержит 16 тактик, 84 техники, 56 под-техник, 32 митигации, 42 кейса.
1. Что такое MITRE ATLAS
ATLAS это публичная knowledge base тактик и техник противника, применяемых против систем искусственного интеллекта и машинного обучения. Аналог ATT&CK, но сфокусирован на специфике ML и GenAI.
Цель матрицы: дать защитникам, красным командам, аудиторам и регуляторам общий словарь и методологию для описания атак на AI.
ATLAS поддерживается MITRE Corporation совместно с Microsoft, Bosch, IBM, NVIDIA, Airbus, Splunk, Salesforce, ФБР и академией. Проект запущен в 2020 году как Adversarial ML Threat Matrix, переименован в ATLAS в 2021 году.
Матрица обновляется поквартально. По состоянию на апрель 2026 актуальна v5.4.0.
Характеристики v5.4.0:
- 16 тактик (колонки матрицы, стадии атаки).
- 84 техники (способы достижения целей внутри тактики).
- 56 под-техник (конкретные варианты).
- 32 митигации (меры противодействия).
- 42 задокументированных case study (реальные инциденты).
Данные доступны в форматах:
- HTML на atlas.mitre.org для ручного изучения.
- STIX 2.1 bundle для импорта в TIP, SIEM, SOAR.
- YAML и JSON на github.com/mitre-atlas/atlas-data.
- ATLAS Navigator (форк ATT&CK Navigator) для построения карт покрытия.
2. Отличия ATLAS от ATT&CK
ATT&CK описывает атаки на классические ИТ-системы: endpoint, сеть, облако, контейнеры, SCADA. ATLAS надстраивает над этим слой, специфичный для ML.
| Аспект | ATT&CK | ATLAS |
|---|---|---|
| Область | Классические ИТ | ML/AI системы |
| Число тактик | 14 (Enterprise) | 16 |
| Новые тактики | Initial Access, Execution и т. д. | ML Attack Staging, ML Model Access |
| Примеры техник | Spear Phishing, DLL Injection | Poisoning, Evasion, Prompt Injection |
| Атакуемый объект | Код, инфраструктура | Модель, данные, артефакты |
| Артефакты | Процесс, файл, сетевой пакет | Датасет, checkpoint, эмбеддинг, промпт |
ATLAS не заменяет ATT&CK, а дополняет. Большинство AI-атак начинаются с классических шагов ATT&CK (фишинг, эксплойт публичного сервиса, compromise CI/CD) и переходят в ATLAS-специфику на этапе воздействия на модель.
Практика: карта угроз AI-системы включает техники из обоих матриц. Например:
- Initial Access в CI/CD (ATT&CK T1190) дальше приводит к Backdoor ML Model (ATLAS AML.T0018).
- Phishing (ATT&CK T1566) дальше приводит к Credential Access к ML registry и Exfiltration via ML Inference API (ATLAS AML.T0024).
3. Структура матрицы
graph TD
T["Тактика: цель атакующего"] --> TECH["Техника: способ"]
TECH --> SUB["Под-техника: конкретный вариант"]
TECH --> MIT["Митигация: противодействие"]
TECH --> CS["Case Study: реальный инцидент"]
SUB --> MIT
SUB --> CS
MIT --> REF["Ссылка на NIST/ISO/OWASP"]
Термины:
- Тактика (TAxxxx): фаза атаки. Примеры: Reconnaissance, Initial Access, ML Attack Staging, Impact.
- Техника (Txxxx): как противник достигает цели тактики. Пример: AML.T0051 LLM Prompt Injection.
- Под-техника (Txxxx.yyy): конкретный вариант техники. Пример: AML.T0051.000 Direct, AML.T0051.001 Indirect.
- Митигация (Mxxxx): контрмера. Пример: AML.M0005 Control Access to ML Models and Data at Rest.
- Case study: верифицированный кейс с разбором шагов и техник. Пример: AML.CS0000 Evasion of Deep Learning Detector for Malware C&C Traffic.
Префикс AML указывает на принадлежность к Adversarial Machine Learning domain.
4. Список тактик
Актуальный набор на v5.4.0. Порядок соответствует типичной kill chain.
| ID | Тактика | Цель атакующего |
|---|---|---|
| AML.TA0002 | Reconnaissance (Разведка) | Собрать информацию о цели и её ML-системе |
| AML.TA0003 | Resource Development (Развитие ресурсов) | Подготовить инструменты, инфраструктуру, датасеты |
| AML.TA0004 | Initial Access (Начальный доступ) | Закрепиться в периметре жертвы |
| AML.TA0005 | ML Model Access (Доступ к модели) | Получить возможность отправлять запросы к модели или её артефактам |
| AML.TA0006 | Execution (Исполнение) | Выполнить код в среде жертвы |
| AML.TA0007 | Persistence (Закрепление) | Обеспечить долгое присутствие |
| AML.TA0008 | Privilege Escalation (Повышение привилегий) | Расширить права в ML-стеке |
| AML.TA0009 | Defense Evasion (Обход защит) | Уйти от средств обнаружения |
| AML.TA0010 | Credential Access (Доступ к учётным данным) | Получить ключи к ML-platforms, registry, датасетам |
| AML.TA0011 | Discovery (Исследование) | Изучить архитектуру, ontology, гиперпараметры модели |
| AML.TA0012 | Collection (Сбор) | Собрать датасеты, веса, логи, эмбеддинги |
| AML.TA0013 | ML Attack Staging (Подготовка ML-атаки) | Собрать proxy-модель, crafted inputs, backdoor-датасет |
| AML.TA0014 | Exfiltration (Эксфильтрация) | Вывести данные или артефакты |
| AML.TA0015 | Impact (Воздействие) | Нарушить работу, исказить результаты, нанести репутационный или финансовый ущерб |
| AML.TA0016 | Command and Control (Управление и контроль) | Удалённо управлять скомпрометированной AI-системой |
| AML.TA0017 | (резерв под новые тактики в будущих версиях) | - |
Полный актуальный список смотрите в ATLAS Matrix.
Тактики ATLAS v5.4 — справочник по 14 категориям
{
"id": "ch23-atlas-tactics",
"title": "MITRE ATLAS v5.4 — тактики",
"description": "Раскройте запись — внутри типичные техники, индикаторы для blue team и ссылка на atlas.mitre.org. Порядок соответствует kill chain. Отметка «пройдено» сохраняется локально между сессиями.",
"shuffle": false,
"cards": [
{
"tag": "тактика",
"front": "AML.TA0002",
"subFront": "Reconnaissance · Разведка",
"back": "Сбор информации о цели до атаки.\n\nТипичные техники: AML.T0000 Search for Victim's Publicly Available Research Materials, AML.T0001 Search Application Repositories.\n\nИндикаторы для blue team: повторяющиеся probing-запросы по model card, обращения к /metrics или версии артефактов.",
"href": "https://atlas.mitre.org/tactics/AML.TA0002"
},
{
"tag": "тактика",
"front": "AML.TA0003",
"subFront": "Resource Development · Развитие ресурсов",
"back": "Атакующий готовит инструментарий: proxy-модели, crafted-датасеты, инфраструктуру для adversarial training.\n\nКлюч: AML.T0008 Acquire Public ML Artifacts, AML.T0017 Develop Capabilities.",
"href": "https://atlas.mitre.org/tactics/AML.TA0003"
},
{
"tag": "тактика",
"front": "AML.TA0004",
"subFront": "Initial Access · Начальный доступ",
"back": "Закрепление в инфраструктуре жертвы. ML-специфика: AML.T0010 ML Supply Chain Compromise — компрометация публичных весов, датасетов, MCP-серверов.",
"href": "https://atlas.mitre.org/tactics/AML.TA0004"
},
{
"tag": "тактика",
"front": "AML.TA0005",
"subFront": "ML Model Access · Доступ к модели",
"back": "Атакующий получает возможность query API или скачать веса.\n\nAML.T0040 ML Model Inference API Access — самый частый канал; AML.T0044 Full ML Model Access — самый разрушительный.",
"href": "https://atlas.mitre.org/tactics/AML.TA0005"
},
{
"tag": "тактика",
"front": "AML.TA0006",
"subFront": "Execution · Исполнение",
"back": "Выполнение кода в среде жертвы. ML-специфика: AML.T0011 User Execution → жертва запускает скомпрометированный pickle / Jupyter notebook; AML.T0050 Command and Scripting через prompt injection в агенте.",
"href": "https://atlas.mitre.org/tactics/AML.TA0006"
},
{
"tag": "тактика",
"front": "AML.TA0007",
"subFront": "Persistence · Закрепление",
"back": "Обеспечение долгого присутствия. AML.T0018 Backdoor ML Model — встраивание trigger в веса; AML.T0020 Poison Training Data — внедрение в датасет, чтобы триггер сохранился через переобучение.",
"href": "https://atlas.mitre.org/tactics/AML.TA0007"
},
{
"tag": "тактика",
"front": "AML.TA0008",
"subFront": "Privilege Escalation · Повышение привилегий",
"back": "Расширение прав внутри ML-стека. Часто через скомпрометированный agent tool, который имеет broader scope, чем пользователь.",
"href": "https://atlas.mitre.org/tactics/AML.TA0008"
},
{
"tag": "тактика",
"front": "AML.TA0009",
"subFront": "Defense Evasion · Обход защит",
"back": "Уход от detection. AML.T0015 Evade ML Model — adversarial examples; AML.T0054 LLM Jailbreak — обход guardrails через role-play / Crescendo / Skeleton Key.",
"href": "https://atlas.mitre.org/tactics/AML.TA0009"
},
{
"tag": "тактика",
"front": "AML.TA0010",
"subFront": "Credential Access · Доступ к учёткам",
"back": "Получение ключей к ML-платформам, registry, датасетам. Включает AML.T0055 Unsecured Credentials — токены HF / Vertex / OpenAI в открытых notebook'ах.",
"href": "https://atlas.mitre.org/tactics/AML.TA0010"
},
{
"tag": "тактика",
"front": "AML.TA0011",
"subFront": "Discovery · Исследование",
"back": "Изучение архитектуры жертвы. AML.T0013 Discover ML Model Ontology — определение классов через probing; AML.T0014 Discover ML Model Family — через стиль ответов / артефакты.",
"href": "https://atlas.mitre.org/tactics/AML.TA0011"
},
{
"tag": "тактика",
"front": "AML.TA0012",
"subFront": "Collection · Сбор",
"back": "Сбор датасетов, весов, эмбеддингов, логов. Конечная цель — данные для proxy-обучения или для прямой эксфильтрации.",
"href": "https://atlas.mitre.org/tactics/AML.TA0012"
},
{
"tag": "тактика",
"front": "AML.TA0013",
"subFront": "ML Attack Staging · Подготовка ML-атаки",
"back": "Сборка proxy-модели, crafted inputs, backdoor-датасета на стороне атакующего. AML.T0005 Create Proxy ML Model — самый частый префикс к evasion.",
"href": "https://atlas.mitre.org/tactics/AML.TA0013"
},
{
"tag": "тактика",
"front": "AML.TA0014",
"subFront": "Exfiltration · Эксфильтрация",
"back": "Вывод данных или артефактов. AML.T0024 Exfiltration via ML Inference API (через probing) и AML.T0025 Exfiltration via Cyber Means (классические каналы).",
"href": "https://atlas.mitre.org/tactics/AML.TA0014"
},
{
"tag": "тактика",
"front": "AML.TA0015",
"subFront": "Impact · Воздействие",
"back": "Финальная цель: нарушить работу, исказить результаты, нанести ущерб. AML.T0034 Cost Harvesting (Denial-of-Wallet); AML.T0048 External Harms — манипуляция деловой логикой через скомпрометированный inference.",
"href": "https://atlas.mitre.org/tactics/AML.TA0015"
}
]
}
Дальше — практика и артефакты
Полная версия главы «Глава 23. MITRE ATLAS на русском языке» с готовыми артефактами, шаблонами, чек-листами и подробными процедурами доступна по подписке.
- Полный доступ ко всем главам и обновлениям 30 дней
- Готовые playbook'и, шаблоны и runbook'и под копирование
- Поддержка автора — paywall не для заработка, а для развития справочника
Можно отменить в любой момент. Возврат средств в первые 7 дней без вопросов.
15. Связи с другими главами
- Глава 07 Red Teaming: практика применения ATLAS в red team.
- Глава 09 Threat Modeling: ATLAS как источник техник в DFD и STRIDE-AI.
- Глава 10 Защита и Red Teaming LLM-агентов: deep-dive по агентским техникам.
- Глава 11 Безопасность чат-ботов: матрица рисков с mapping на ATLAS.
- Глава 15 AI Incident Response: классификация инцидентов по тактикам ATLAS.
- Глава 16 ML Attack Atlas: RAG и Multimodal: классические ML-атаки с привязкой к ATLAS.
- Глава 18 Российская специфика: ФСТЭК/ЦБ/187-ФЗ контекст.
- Глава 19 Безопасность обучающей инфраструктуры: ATLAS для training-фазы.
- Глава 20 Код-ассистенты: ATLAS для developer-tooling.
Приложение A. Sample ATLAS Navigator layer (JSON)
Пример layer-файла для ATLAS Navigator, покрывающего корпоративную LLM-шлюз архитектуру:
{
"name": "Corporate LLM Gateway: Coverage 2026-Q2",
"version": "5.4.0",
"domain": "atlas",
"description": "Покрытие техник корпоративным LLM-шлюзом",
"techniques": [
{"techniqueID": "AML.T0051", "score": 85, "comment": "LLM-Guard + NeMo"},
{"techniqueID": "AML.T0053", "score": 70, "comment": "MCP signing, allowedTools"},
{"techniqueID": "AML.T0054", "score": 60, "comment": "JailbreakBench regression"},
{"techniqueID": "AML.T0057", "score": 90, "comment": "Presidio + DLP output"},
{"techniqueID": "AML.T0062", "score": 50, "comment": "Detection pattern на extraction"},
{"techniqueID": "AML.T0070", "score": 40, "comment": "RAG provenance частично"},
{"techniqueID": "AML.T0024", "score": 75, "comment": "Rate-limit + anomaly"},
{"techniqueID": "AML.T0034", "score": 85, "comment": "FinOps budget-блокировка"}
],
"gradient": {
"colors": ["#ffffff", "#000000"],
"minValue": 0,
"maxValue": 100
}
}
Файл импортируется в atlas-navigator для визуализации покрытия.
Приложение B. Mapping шаблон для внутреннего Threat Model
Для каждой системы из AI-реестра заполнить таблицу:
| Компонент | Угроза | ATLAS Tactic | ATLAS Technique | Митигация (AML.Mxxxx) | Ответственный | Статус |
|---|---|---|---|---|---|---|
| LLM Gateway | Prompt Injection | TA0007 Defense Evasion | T0051.001 Indirect | M0015 LLM-Guard | AppSec | Внедрено |
| RAG KB | Poisoning | TA0003 Resource Dev | T0070 | M0028 Content Validation | Data Eng | В работе |
| MCP Server | Plugin Compromise | TA0006 Execution | T0053 | M0027 Tool Restrictions | Platform | Запланировано |
| Training Pipeline | Backdoor | TA0007 Persistence | T0018.000 | M0007 Sanitize + M0013 Signing | MLOps | Внедрено |
| Inference API | Model Extraction | TA0014 Exfiltration | T0024.002 | M0004 Rate Limit | SRE | Внедрено |
Этот шаблон заполняется в разрезе каждой системы из AI-реестра согласно главе 14.
С чего начать по вашей роли
Threat Intelligence Analyst
| Горизонт | Действия |
|---|---|
| День 1 | MITRE ATLAS v5.4 изучение. Mapping вашего tech stack на technique IDs. |
| Неделя 1 | Подписка на ATLAS updates (feed). Мониторинг новых case studies. |
| Месяц 1 | Monthly briefing для SOC: top-5 новых techniques, coverage вашей организации. |
Detection Engineer
| Горизонт | Действия |
|---|---|
| День 1 | Mapping existing detections на ATLAS techniques. Gap analysis. |
| Неделя 1 | Priority techniques для purple team: ATLAS Top 10 релевантных вашему stack. |
| Месяц 1 | Sigma/KUMA правила для top techniques. Coverage >= 70%. |
Red Team Lead
| Горизонт | Действия |
|---|---|
| День 1 | Engagement plan по ATLAS tactics: Recon → Access → ML Attack → Exfiltration. |
| Неделя 1 | Playbooks для каждой ATLAS TTP с tools (Counterfit, garak, AgentDojo). |
| Месяц 1 | Quarterly red team exercise с full ATLAS-based scenario. |
CISO
| Горизонт | Действия |
|---|---|
| День 1 | Coverage heatmap: ATLAS techniques x ваш стек. Приоритеты на год. |
| Неделя 1 | Board briefing: ATLAS как industry-standard. Maturity journey. |
| Месяц 1 | Integration с risk register: каждая priority technique имеет control. |
Security Architect
| Горизонт | Действия |
|---|---|
| День 1 | Reference architectures с mitigations для ATLAS top techniques. |
| Неделя 1 | Project templates: какие controls применимы для какого типа AI-системы. |
| Месяц 1 | Published architecture patterns + ATLAS mapping — как artifact для команд. |
{"id": "ch23-q1", "question": "MITRE ATLAS — это:", "options": ["Стандарт", "Framework (taxonomy) tactics и techniques атак на AI/ML systems, аналог MITRE ATT&CK для AI; используется для coverage mapping и communication", "Инструмент", "Бенчмарк"], "answer": 1, "explanation": "ATLAS — это framework с tactics (phases) и techniques (specific how). Like ATT&CK для AI. Используется для mapping detections, communication с регуляторами, purple team engagement."}
Конец главы 23.