Широкомасштабное применение сложных кибератак типа APT относительно критической инфраструктуры стало мощным стимулом для развития методов проактивной киберзащиты. Характерным для APTs является сложный набор взаимосвязанных по времени и пространству действий злоумышленника. Отдельно действия могут не вызывать подозрений; целевая акция атаки в киберсегменте объекта-жертвы готовится длительное время (от нескольких месяцев до года и более); совокупность действий злоумышленника – это цепочка тактик, выполнение которых позволяет достичь цели атаки. Средства реализации тактик – разнообразны. Набор тактик и их сущность остаются постоянными. Большинство известных моделей APT атак представлены в виде вербального описания этапов APT и их смыслового содержания. Недостаток таких моделей – невозможность прямого применения в SIEM-за отсутствия общей основы для алгоритмизации действий в рамках этапов атаки. В основе другой группы моделей разные математические конструкции, позволяющие представить масштабные действия злоумышленника в виде одного сложного математического процесса. Как правило, такие модели сложно связывать с технологическими процессами мониторинга событий в реальном времени. С позиций автоматизации процессов обнаружения атак в первую очередь стоит задача разработки таких моделей APT, которые позволяют алгоритмизировать процесс формирования индикаторов безопасности на основе аргументированной корреляции событий по времени и пространству. Статья посвящена разработке новой модели APT на основе кибернетического подхода. Сущность подхода – относительно компьютеров организации-жертвы злоумышленник регулярно выполняет действия из цикла управления. Это позволяет представить APT атаку в виде траектории поведения управляемой (кибернетической) системы. В рамках модели поведение кибернетической системы злоумышленника была представлено через математическое описание информационных процессов управления и итеративную взаимосвязь между смежными фазами (состояниями) кибернетической системы. Такой подход позволяет в рамках иерархической структуры модели: вербальным этапам атаки поставить в соответствие набор фаз кибернетической системы злоумышленника; каждой фазе поставить в соответствие элементарные события в киберсегменте организации-жертвы, которые могут определяться сенсорами безопасности. Модель позволяет представить каждую атаку в виде набора взаимосвязанных характеристик элементарных событий на узлах компьютерной сети. Такой набор (шаблон APT) может быть применен в рамках автоматизированного детектирования атаки средствами SIEM в системах проактивной киберзащиты.