Af de hundredvis af dokumenterede MITER ATT&CK-teknikker dominerer to feltet: kommando- og scriptfortolkere (T1059) og phishing (T1566).
I en rapport offentliggjort den 10. april, D3 Security analyserede mere end 75,000 nylige cybersikkerhedshændelser. Dens mål var at bestemme, hvilke angrebsmetoder der var mest almindelige.
Resultaterne tegner et skarpt billede: disse to teknikker overgik alle andre i størrelsesordener, hvor den bedste teknik overgik andenpladsen med en faktor tre.
For forsvarere, der ønsker at tildele begrænset opmærksomhed og ressourcer, er her blot nogle af de mest almindelige ATT&CK-teknikker, og hvordan man forsvarer sig mod dem.
Udførelse: Kommando- og scriptfortolker (bruges i 52.22 % af angrebene)
Hvad er det: Angribere skriver scripts ind populære sprog som PowerShell og Python til to primære formål. Oftest bruges de til at automatisere ondsindede opgaver såsom indsamling af data eller download og udtrækning af en nyttelast. De er også nyttige til at undgå detektion - omgåelse af antivirusløsninger, udvidet detektion og respons (XDR) og lignende.
At disse manuskripter langt væk er nr. 1 på denne liste er ekstra overraskende for Adrianna Chen, D3's vicepræsident for produkt og service. "Da Command and Scripting Interpreter (T1059) falder ind under udførelsestaktikken, er den i midterfasen af MITER ATT&CK-dræbningskæden," siger hun. "Så det er rimeligt at antage, at andre teknikker fra tidligere taktikker allerede er gået uopdaget på det tidspunkt, hvor det er opdaget af EDR-værktøjet. I betragtning af, at denne ene teknik var så fremtrædende i vores datasæt, understreger den vigtigheden af at have processer til at spore tilbage til oprindelsen af en hændelse."
Sådan forsvarer du dig mod det: Fordi ondsindede scripts er mangfoldige og mangefacetterede, kræver håndtering af dem en grundig hændelsesresponsplan, der kombinerer detektering af potentielt ondsindet adfærd med streng overvågning af privilegier og scriptudførelsespolitikker.
Indledende adgang: Phishing (15.44 %)
Hvad er det: Phishing og dens underkategori, spear-phishing (T1566.001-004), er den første og tredje mest almindelige måde, hvorpå angribere får adgang til målrettede systemer og netværk. Ved at bruge den første i generelle kampagner og den anden, når man sigter mod specifikke individer eller organisationer, er målet at tvinge ofre til at videregive afgørende information, der vil give fodfæste til følsomme konti og enheder.
Sådan forsvarer du dig mod det: Selv de klogeste og mest uddannede blandt os falder for sofistikeret social engineering. Hyppige uddannelses- og oplysningskampagner kan hjælpe på nogle måder at beskytte medarbejderne mod dem selv og de virksomheder, de giver et vindue til.
Indledende adgang: Gyldige konti (3.47 %)
Hvad er det: Ofte giver vellykket phishing angribere adgang til legitime konti. Disse konti giver nøgler til ellers låste døre og dækker deres forskellige ugerninger.
Sådan forsvarer du dig mod det: Når medarbejdere uundgåeligt klikker på den ondsindede PDF eller URL, robust multifaktorgodkendelse (MFA) kan om ikke andet fungere som flere bøjler for angribere at springe igennem. Anomalidetektionsværktøjer kan også hjælpe, hvis for eksempel en fremmed bruger opretter forbindelse fra en fjern IP-adresse, eller blot gør noget, de ikke forventes at gøre.
Legitimationsadgang: Brute Force (2.05 %)
Hvad er det: En mere populær mulighed tilbage i gamle dage, brute force-angreb har holdt fast takket være allestedsnærværende af svage, genbrugte og uændrede adgangskoder. Her bruger angribere scripts, der automatisk kører gennem kombinationer af brugernavn og adgangskode - som f.eks et ordbogsangreb — for at få adgang til ønskede konti.
Sådan forsvarer du dig mod det: Intet punkt på denne liste er så nemt og fuldstændigt at forebygge som brute-force-angreb. Brug af stærke nok adgangskoder løser problemet af sig selv, punktum. Andre små mekanismer, som at låse en bruger ude efter gentagne loginforsøg, gør også tricket.
Vedholdenhed: Kontomanipulation (1.34 %)
Hvad er det: Når en angriber har brugt phishing, brute force eller andre midler til at få adgang til en privilegeret konto, kan de så udnytte denne konto til at cementere deres position i et målrettet system. For eksempel kan de ændre kontoens legitimationsoplysninger for at låse dens oprindelige ejer ude, eller muligvis justere tilladelser for at få adgang til endnu mere privilegerede ressourcer, end de allerede har.
Sådan forsvarer du dig mod det: For at afbøde skaden fra et kontokompromis anbefaler D3, at organisationer implementerer strenge begrænsninger for adgang til følsomme ressourcer og følger princippet om mindst privilegeret adgang: giver ikke mere end det minimumsniveau af adgang, der er nødvendigt for enhver bruger til at udføre sit job.
Udover det giver den en række anbefalinger, der kan gælde for denne og andre MITER-teknikker, herunder:
-
Opretholdelse af årvågenhed gennem kontinuerlig overvågning af logfiler for at opdage og reagere på mistænkelige kontoaktiviteter
-
Arbejder under den antagelse, at netværket allerede er blevet kompromitteret og vedtager proaktive foranstaltninger for at afbøde potentielle skader
-
Strømlining af indsatsindsatsen ved at automatisere modforanstaltninger ved opdagelse af bekræftede sikkerhedsbrud, hvilket sikrer hurtig og effektiv afhjælpning
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
- :har
- :er
- 000
- 1
- 15 %
- 7
- 75
- 8
- 9
- a
- adgang
- Adgang
- Konto
- Konti
- Lov
- adresse
- justere
- Vedtagelsen
- Efter
- mod
- sigter
- Alle
- tildele
- tillade
- tillader
- allerede
- også
- blandt
- blandt os
- an
- analyseret
- ,
- afsløring af anomalier
- antivirus
- enhver
- Indløs
- april
- ER
- aren
- omkring
- AS
- antage
- antagelse
- angribe
- Angriberen
- Angreb
- Forsøg på
- opmærksomhed
- Godkendelse
- automatisere
- automatisk
- Automatisering
- bevidsthed
- væk
- tilbage
- været
- adfærd
- brud
- brute force
- by
- Kampagner
- CAN
- cement
- kæde
- lave om
- chen
- Circle
- klik
- kombinationer
- kombinerer
- kommando
- Fælles
- almindeligt
- Virksomheder
- kompromis
- Kompromitteret
- BEKRÆFTET
- forbinder
- kontinuerlig
- dæksel
- KREDENTIAL
- Legitimationsoplysninger
- afgørende
- Cybersecurity
- skader
- data
- datasæt
- Dage
- beskæftiger
- Defenders
- ønskes
- opdage
- opdaget
- Detektion
- Bestem
- Enheder
- forskelligartede
- do
- gør
- Dominere
- døre
- downloading
- tidligere
- nemt
- Uddannelse
- Effektiv
- indsats
- andet
- medarbejdere
- Engineering
- nok
- sikring
- Endog
- eksempel
- udførelse
- forventet
- udvidet
- ekstra
- faktor
- retfærdig
- Fall
- Falls
- langt
- felt
- Fornavn
- fast
- følger
- Til
- Tving
- hyppig
- fra
- fuld
- Gevinst
- Generelt
- given
- Go
- mål
- gået
- tildeling
- høst
- Have
- have
- hjælpe
- hende
- link.
- hans
- Hvordan
- How To
- http
- HTTPS
- Hundreder
- ICON
- if
- gennemføre
- betydning
- in
- hændelse
- hændelsesrespons
- Herunder
- enkeltpersoner
- uundgåeligt
- oplysninger
- initial
- ind
- IP
- IP-adresse
- IT
- ITS
- Job
- jpeg
- hoppe
- lige
- nøgler
- Kill
- Sprog
- mindst
- legitim
- Niveau
- Leverage
- ligesom
- Limited
- Liste
- lidt
- lås
- låst
- låsning
- Logge på
- leder
- ondsindet
- Håndtering
- midler
- foranstaltninger
- mekanismer
- metoder
- MFA
- Mellemøsten
- minimum
- afbøde
- overvågning
- mere
- mest
- mangefacetteret
- multifaktorgodkendelse
- nødvendig
- netværk
- net
- ingen
- intet
- nummer
- of
- Tilbud
- on
- ONE
- Option
- or
- ordrer
- ordrer
- organisationer
- oprindelse
- original
- Andet
- Andre
- Ellers
- vores
- ud
- i løbet af
- egen
- ejer
- Adgangskode
- Nulstilling/ændring af adgangskoder
- Udfør
- Tilladelser
- udholdenhed
- Phishing
- billede
- fly
- plato
- Platon Data Intelligence
- PlatoData
- politikker
- Populær
- position
- eventuelt
- potentiale
- potentielt
- præsident
- primære
- privilegeret
- privilegier
- Proaktiv
- Problem
- Processer
- Produkt
- fremtrædende
- beskyttelse
- give
- offentliggjort
- formål
- Python
- RE
- nylige
- anbefalinger
- anbefaler
- gentaget
- Kræver
- Ressourcer
- Svar
- svar
- restriktioner
- Resultater
- Kør
- s
- siger
- script
- scripts
- Anden
- sikkerhed
- sikkerhedsbrud
- følsom
- tjeneste
- sæt
- hun
- ganske enkelt
- siden
- smarteste
- So
- Social
- Samfundsteknologi
- Løsninger
- nogle
- noget
- sofistikeret
- specifikke
- Stage
- skarp
- Stands
- mærkeligt
- Streng
- stringent
- stærk
- vellykket
- sådan
- overraskende
- mistænksom
- SWIFT
- systemet
- Systemer
- taktik
- målrettet
- opgaver
- teknik
- teknikker
- end
- Tak
- at
- deres
- Them
- selv
- derefter
- Disse
- de
- Tredje
- denne
- grundig
- dem
- tre
- Gennem
- tid
- til
- værktøj
- værktøjer
- top
- mod
- Trace
- trick
- to
- uændret
- under
- understregninger
- på
- URL
- us
- brug
- anvendte
- nyttigt
- Bruger
- ved brug af
- gyldig
- forskellige
- vice
- Vice President
- ofre
- årvågenhed
- var
- Ur
- måder
- svag
- var
- hvornår
- som
- helt
- vilje
- vindue
- med
- skriver
- XDR
- zephyrnet