Delle centinaia di tecniche MITRE ATT&CK documentate, due dominano il campo: interpreti di comandi e script (T1059) e phishing (T1566).
In un rapporto pubblicato il 10 aprile, D3 Security ha analizzato più di 75,000 recenti incidenti di sicurezza informatica. Il suo obiettivo era determinare quali metodi di attacco fossero più comuni.
I risultati dipingono un quadro desolante: queste due tecniche hanno superato tutte le altre per ordini di grandezza, con la tecnica migliore che ha superato la seconda classificata di un fattore tre.
Per i difensori che desiderano allocare attenzione e risorse limitate, ecco solo alcune delle tecniche ATT&CK più comuni e come difendersi da esse.
Esecuzione: interprete di comandi e script (utilizzato nel 52.22% degli attacchi)
Che cosa è: Gli aggressori scrivono script in linguaggi popolari come PowerShell e Python per due scopi principali. Più comunemente, vengono utilizzati per automatizzare attività dannose come la raccolta di dati o il download e l'estrazione di un payload. Sono utili anche per eludere il rilevamento, aggirando soluzioni antivirus, rilevamento e risposta estesi (XDR) e simili.
Il fatto che questi script siano di gran lunga il numero 1 in questo elenco è estremamente sorprendente per Adrianna Chen, vicepresidente del prodotto e del servizio di D3. "Poiché Command and Scripting Interpreter (T1059) rientra nella tattica Esecuzione, si trova nella fase intermedia della catena di uccisione MITRE ATT&CK", afferma. “Quindi, è giusto supporre che altre tecniche di tattiche precedenti siano già passate inosservate nel momento in cui sono state rilevate dallo strumento EDR. Dato che questa tecnica era così importante nel nostro set di dati, sottolinea l’importanza di disporre di processi per risalire all’origine di un incidente”.
Come difendersi: Poiché gli script dannosi sono diversi e sfaccettati, affrontarli richiede un piano di risposta agli incidenti approfondito che combini il rilevamento di comportamenti potenzialmente dannosi con un controllo rigoroso sui privilegi e sulle policy di esecuzione degli script.
Accesso iniziale: Phishing (15.44%)
Che cosa è: Il phishing e la sua sottocategoria, spear-phishing (T1566.001-004), rappresentano il primo e il terzo modo più comune con cui gli aggressori ottengono l'accesso a sistemi e reti presi di mira. Utilizzando il primo in campagne generali e il secondo quando si mira a individui o organizzazioni specifici, l'obiettivo è costringere le vittime a divulgare informazioni cruciali che consentiranno di accedere ad account e dispositivi sensibili.
Come difendersi: Anche i più intelligenti e istruiti tra noi si innamorano di una sofisticata ingegneria sociale. Frequenti campagne di formazione e sensibilizzazione possono in qualche modo contribuire a proteggere i dipendenti da se stessi e dalle aziende a cui forniscono una finestra.
Accesso iniziale: conti validi (3.47%)
Che cosa è: Spesso, il phishing efficace consente agli aggressori di accedere ad account legittimi. Questi account forniscono le chiavi di porte altrimenti chiuse e coprono i loro vari misfatti.
Come difendersi: Quando i dipendenti inevitabilmente fanno clic su quel PDF o URL dannoso, robusta autenticazione a più fattori (MFA) possono, se non altro, fungere da ulteriori cerchi attraverso i quali gli aggressori possono saltare. Gli strumenti di rilevamento delle anomalie possono anche aiutare se, ad esempio, uno strano utente si connette da un indirizzo IP lontano o semplicemente fa qualcosa che non dovrebbe fare.
Accesso alle credenziali: Forza bruta (2.05%)
Che cosa è: Un'opzione più popolare ai vecchi tempi, gli attacchi di forza bruta sono rimasti diffusi grazie all'ubiquità di password deboli, riutilizzate e invariate. In questo caso, gli aggressori utilizzano script che vengono eseguiti automaticamente attraverso combinazioni di nome utente e password, come in un attacco al dizionario - per ottenere l'accesso agli account desiderati.
Come difendersi: Nessun elemento in questo elenco è facilmente e completamente prevenibile come gli attacchi di forza bruta. L'uso di password sufficientemente forti risolve il problema da solo, punto. Anche altri piccoli meccanismi, come bloccare un utente dopo ripetuti tentativi di accesso, funzionano allo stesso modo.
Persistenza: manipolazione dell'account (1.34%)
Che cosa è: Una volta che un utente malintenzionato ha utilizzato il phishing, la forza bruta o altri mezzi per accedere a un account privilegiato, può quindi sfruttare quell'account per consolidare la propria posizione in un sistema preso di mira. Ad esempio, possono modificare le credenziali dell'account per bloccare il suo proprietario originale o eventualmente modificare le autorizzazioni per accedere a risorse ancora più privilegiate di quelle di cui già dispongono.
Come difendersi: Per mitigare il danno derivante dalla compromissione di un account, D3 consiglia alle organizzazioni di implementare restrizioni rigorose per l'accesso alle risorse sensibili e di seguire le principio dell’accesso con privilegi minimi: garantire non più del livello minimo di accesso necessario affinché qualsiasi utente possa svolgere il proprio lavoro.
Oltre a ciò, offre una serie di raccomandazioni che possono essere applicate a questa e ad altre tecniche MITRE, tra cui:
-
Mantenere la vigilanza attraverso il monitoraggio continuo dei registri per rilevare e rispondere a qualsiasi attività sospetta dell'account
-
Operare partendo dal presupposto che la rete sia già stata compromessa e adottando misure proattive per mitigare i potenziali danni
-
Semplificazione degli sforzi di risposta automatizzando le contromisure al rilevamento di violazioni della sicurezza confermate, garantendo una mitigazione rapida ed efficace
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
- :ha
- :È
- 000
- 1
- 15%
- 7
- 75
- 8
- 9
- a
- accesso
- Accedendo
- Il mio account
- conti
- Legge
- indirizzo
- regolare
- Adottando
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- Mirare
- Tutti
- assegnare
- consentire
- consente
- già
- anche
- tra
- tra di noi
- an
- analizzato
- ed
- rilevamento anomalie
- antivirus
- in qualsiasi
- APPLICA
- Aprile
- SONO
- aren
- in giro
- AS
- assumere
- assunzione
- attacco
- aggressore
- attacchi
- Tentativi
- attenzione
- Autenticazione
- automatizzare
- automaticamente
- Automatizzare
- consapevolezza
- lontano
- precedente
- stato
- comportamenti
- violazioni
- forza bruta
- by
- Responsabile Campagne
- Materiale
- cemento
- catena
- il cambiamento
- chen
- Cerchio
- clicca
- combinazioni
- combina
- command
- Uncommon
- comunemente
- Aziende
- compromesso
- Compromissione
- CONFERMATO
- collega
- continuo
- coprire
- CREDENZIALI
- Credenziali
- cruciale
- Cybersecurity
- danno
- dati
- set di dati
- Giorni
- trattare
- Difensori
- desiderato
- individuare
- rilevato
- rivelazione
- Determinare
- dispositivi
- paesaggio differenziato
- do
- effettua
- Dominare
- porte
- il download
- In precedenza
- facilmente
- Istruzione
- Efficace
- sforzi
- altro
- dipendenti
- Ingegneria
- abbastanza
- assicurando
- Anche
- esempio
- esecuzione
- previsto
- extra
- fattore
- fiera
- Autunno
- cadute
- lontano
- campo
- Nome
- correzioni
- seguire
- Nel
- forza
- frequente
- da
- pieno
- Guadagno
- Generale
- dato
- Go
- scopo
- andato
- rilascio
- Raccolta
- Avere
- avendo
- Aiuto
- suo
- qui
- il suo
- Come
- Tutorial
- http
- HTTPS
- centinaia
- ICON
- if
- realizzare
- importanza
- in
- incidente
- risposta agli incidenti
- Compreso
- individui
- inevitabilmente
- informazioni
- inizialmente
- ai miglioramenti
- IP
- Indirizzo IP
- IT
- SUO
- Lavoro
- jpeg
- saltare
- ad appena
- Tasti
- Uccidere
- Le Lingue
- meno
- legittimo
- Livello
- Leva
- piace
- Limitato
- Lista
- piccolo
- bloccare
- bloccato
- bloccaggio
- accesso
- cerca
- maligno
- Manipolazione
- si intende
- analisi
- meccanismi di
- metodi
- AMF
- In mezzo
- ordine
- Ridurre la perdita dienergia con una
- monitoraggio
- Scopri di più
- maggior parte
- poliedrico
- autenticazione a più fattori
- necessaria
- Rete
- reti
- no
- Niente
- numero
- of
- Offerte
- on
- ONE
- Opzione
- or
- minimo
- ordini
- organizzazioni
- origine
- i
- Altro
- Altri
- altrimenti
- nostro
- su
- ancora
- proprio
- proprietario
- Password
- Le password
- Eseguire
- permessi
- persistenza
- phishing
- immagine
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- Termini e Condizioni
- Popolare
- posizione
- forse
- potenziale
- potenzialmente
- Presidente
- primario
- privilegiato
- privilegi
- Proactive
- Problema
- i processi
- Prodotto
- prominente
- proteggere
- fornire
- pubblicato
- fini
- Python
- RE
- recente
- raccomandazioni
- raccomanda
- ripetuto
- richiede
- Risorse
- Rispondere
- risposta
- restrizioni
- Risultati
- Correre
- s
- dice
- copione
- script
- Secondo
- problemi di
- violazioni della sicurezza
- delicata
- servizio
- set
- lei
- semplicemente
- da
- più intelligente
- So
- Social
- Ingegneria sociale
- Soluzioni
- alcuni
- qualcosa
- sofisticato
- specifico
- Stage
- rigido
- Fermare
- strano
- Strict
- rigoroso
- forte
- di successo
- tale
- sorprendente
- sospettoso
- SWIFT
- sistema
- SISTEMI DI TRATTAMENTO
- tattica
- mirata
- task
- per l'esame
- tecniche
- di
- Grazie
- che
- I
- loro
- Li
- si
- poi
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- Terza
- questo
- completo
- quelli
- tre
- Attraverso
- tempo
- a
- strumenti
- top
- verso
- Traccia
- trucco
- seconda
- immutato
- per
- sottolineature
- su
- URL
- us
- uso
- utilizzato
- utile
- Utente
- utilizzando
- un valido
- vario
- vice
- Vicepresidente
- vittime
- vigilanza
- Prima
- Orologio
- modi
- debole
- sono stati
- quando
- quale
- interamente
- volere
- finestra
- con
- scrivere
- XDR
- zefiro