Dintre sutele de tehnici MITRE ATT&CK documentate, două domină domeniul: interpreții de comandă și scripting (T1059) și phishing (T1566).
Într-o raport publicat pe 10 aprilie, D3 Security a analizat peste 75,000 de incidente recente de securitate cibernetică. Scopul său a fost să determine care metode de atac erau cele mai comune.
Rezultatele descriu o imagine crudă: cele două tehnici le-au depășit pe toate celelalte cu ordine de mărime, tehnica de vârf depășindu-l pe locul secund cu un factor de trei.
Pentru apărătorii care doresc să aloce atenție și resurse limitate, iată doar câteva dintre cele mai comune tehnici ATT&CK și cum să se apere împotriva lor.
Execuție: Interpret de comandă și scripting (utilizat în 52.22% dintre atacuri)
Ce este: Atacatorii scriu scripturi limbi populare precum PowerShell și Python pentru două scopuri principale. Cel mai frecvent, acestea sunt folosite pentru automatizarea sarcinilor rău intenționate, cum ar fi colectarea de date sau descărcarea și extragerea unei sarcini utile. Ele sunt, de asemenea, utile pentru evitarea detectării - ocolirea soluțiilor antivirus, detectare și răspuns extins (XDR) și altele asemenea.
Că aceste scenarii sunt de departe numărul 1 pe această listă este foarte surprinzător pentru Adrianna Chen, vicepreședintele D3 pentru produse și servicii. „Întrucât Command and Scripting Interpreter (T1059) se încadrează în tactica de execuție, se află în stadiul de mijloc al lanțului de ucidere MITRE ATT&CK”, spune ea. „Deci, este corect să presupunem că alte tehnici din tacticile anterioare au trecut deja nedetectate până în momentul în care au fost detectate de instrumentul EDR. Având în vedere că această tehnică a fost atât de importantă în setul nostru de date, ea subliniază importanța de a avea procese pentru a urmări până la originea unui incident.”
Cum să te aperi împotriva ei: Deoarece scripturile rău intenționate sunt diverse și cu mai multe fațete, tratarea lor necesită un plan amănunțit de răspuns la incident care combină detectarea comportamentelor potențial rău intenționate cu supravegherea strictă a privilegiilor și a politicilor de execuție a scripturilor.
Acces inițial: phishing (15.44%)
Ce este: Phishing-ul și subcategoria sa, spear-phishing (T1566.001-004), sunt primul și al treilea cel mai frecvent mod prin care atacatorii obțin acces la sistemele și rețelele vizate. Folosind primul în campanii generale și al doilea atunci când vizează anumite persoane sau organizații, scopul este de a constrânge victimele să divulge informații esențiale care vor permite accesul în conturi și dispozitive sensibile.
Cum să te aperi împotriva ei: Chiar și cei mai deștepți și mai educați printre noi se îndrăgostesc de inginerie socială sofisticată. Campaniile frecvente de educație și conștientizare pot contribui în anumite moduri către protejarea angajaților de ei înșiși și de companiile către care oferă o fereastră.
Acces inițial: Conturi valide (3.47%)
Ce este: Adesea, phishingul de succes permite atacatorilor accesul la conturi legitime. Aceste conturi oferă cheile pentru ușile altfel închise și acoperă diferitele lor fapte greșite.
Cum să te aperi împotriva ei: Când angajații dau clic inevitabil pe acel PDF sau URL rău intenționat, autentificare multifactor robustă (MFA) poate, dacă nu altceva, să acționeze ca mai multe cercuri prin care să sară atacatorii. Instrumentele de detectare a anomaliilor pot ajuta, de asemenea, dacă, de exemplu, un utilizator ciudat se conectează de la o adresă IP îndepărtată sau pur și simplu face ceva ce nu trebuie să facă.
Acces la acreditări: Brute Force (2.05%)
Ce este: O opțiune mai populară în vremurile de demult, atacurile cu forță brută s-au păstrat datorită omniprezenței parolelor slabe, reutilizate și neschimbate. Aici, atacatorii folosesc scripturi care rulează automat prin combinații de nume de utilizator și parolă, cum ar fi în un atac de dicționar — pentru a obține acces la conturile dorite.
Cum să te aperi împotriva ei: Niciun element din această listă nu este la fel de ușor și complet prevenit ca atacurile cu forță brută. Folosirea parolelor suficient de puternice rezolvă problema de la sine, punct. Alte mecanisme mici, cum ar fi blocarea unui utilizator după încercări repetate de conectare, fac și ele trucul.
Persistență: manipularea contului (1.34%)
Ce este: Odată ce un atacator a folosit phishing, forță brută sau alte mijloace pentru a accesa un cont privilegiat, poate apoi să folosească acel cont pentru a-și consolida poziția într-un sistem vizat. De exemplu, aceștia pot schimba acreditările contului pentru a-și bloca proprietarul inițial sau, eventual, pot ajusta permisiunile pentru a accesa și mai multe resurse privilegiate decât au deja.
Cum să te aperi împotriva ei: Pentru a atenua daunele cauzate de compromiterea unui cont, D3 recomandă organizațiilor să implementeze restricții stricte pentru accesarea resurselor sensibile și să respecte principiul accesului cel mai puțin privilegiat: acordarea nu mai mult decât nivelul minim de acces necesar oricărui utilizator pentru a-și îndeplini munca.
În plus, oferă o serie de recomandări care se pot aplica acestei tehnici și altor tehnici MITRE, inclusiv:
-
Menținerea vigilenței prin monitorizarea continuă a jurnalelor pentru a detecta și a răspunde la orice activități suspecte din cont
-
Funcționează sub ipoteza că rețeaua a fost deja compromisă și adoptă măsuri proactive pentru a atenua potențialele daune
-
Raționalizarea eforturilor de răspuns prin automatizarea contramăsurilor la detectarea încălcărilor de securitate confirmate, asigurând o atenuare rapidă și eficientă
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
- :are
- :este
- 000
- 1
- 15%
- 7
- 75
- 8
- 9
- a
- acces
- accesarea
- Cont
- Conturi
- act
- adresa
- regla
- Adoptarea
- După
- împotriva
- Urmarind
- TOATE
- aloca
- permite
- permite
- deja
- de asemenea
- printre
- printre noi
- an
- analizate
- și
- detectarea anomaliilor
- antivirus
- Orice
- Aplică
- Aprilie
- SUNT
- aren
- în jurul
- AS
- asuma
- presupunere
- ataca
- atacator
- Atacuri
- Încercările
- atenţie
- Autentificare
- automatizarea
- în mod automat
- automatizarea
- gradului de conştientizare
- departe
- înapoi
- fost
- comportamente
- încălcări
- brute force
- by
- Campanii
- CAN
- ciment
- lanţ
- Schimbare
- chen
- Cerc
- clic
- combinaţii
- combină
- comandă
- Comun
- în mod obișnuit
- Companii
- compromis
- compromis
- CONFIRMAT
- Connects
- continuu
- acoperi
- CREDENTIALĂ
- scrisori de acreditare
- crucial
- Securitate cibernetică
- prejudiciu
- de date
- set de date
- Zi
- abuzive
- apărătorii
- dorit
- detecta
- detectat
- Detectare
- Determina
- Dispozitive
- diferit
- do
- face
- Domina
- Uși
- descărcarea
- Mai devreme
- cu ușurință
- Educaţie
- Eficace
- Eforturile
- altfel
- de angajați
- Inginerie
- suficient de
- asigurare
- Chiar
- exemplu
- execuție
- de aşteptat
- extins
- suplimentar
- factor
- echitabil
- Cădea
- Falls
- departe
- camp
- First
- remedieri
- urma
- Pentru
- Forţarea
- frecvent
- din
- Complet
- Câştig
- General
- dat
- Go
- scop
- plecat
- acordarea
- recoltat
- Avea
- având în
- ajutor
- ei
- aici
- lui
- Cum
- Cum Pentru a
- http
- HTTPS
- sute
- ICON
- if
- punerea în aplicare a
- importanță
- in
- incident
- răspuns la incident
- Inclusiv
- persoane fizice
- inevitabil
- informații
- inițială
- în
- IP
- Adresa IP
- IT
- ESTE
- Loc de munca
- jpeg
- a sari
- doar
- chei
- Ucide
- Limbă
- cel mai puțin
- legitim
- Nivel
- Pârghie
- ca
- Limitat
- Listă
- mic
- bloca
- blocat
- blocare
- Logare
- cautati
- rău
- Manipulare
- mijloace
- măsuri
- mecanisme
- Metode
- AMF
- De mijloc
- minim
- diminua
- Monitorizarea
- mai mult
- cele mai multe
- multifacetică
- autentificare multifactor
- necesar
- reţea
- rețele
- Nu.
- nimic
- număr
- of
- promoții
- on
- ONE
- Opțiune
- or
- comandă
- comenzilor
- organizații
- origine
- original
- Altele
- Altele
- in caz contrar
- al nostru
- afară
- peste
- propriu
- proprietar
- Parolă
- Parolele
- Efectua
- permisiuni
- persistență
- Phishing
- imagine
- plan
- Plato
- Informații despre date Platon
- PlatoData
- Politicile
- Popular
- poziţie
- eventual
- potenţial
- potenţial
- preşedinte
- primar
- privilegiat
- privilegii
- Proactivă
- Problemă
- procese
- Produs
- proeminent
- protectoare
- furniza
- publicat
- scopuri
- Piton
- RE
- recent
- Recomandări
- recomandă
- repetat
- Necesită
- Resurse
- Răspunde
- răspuns
- restricții
- REZULTATE
- Alerga
- s
- spune
- scenariu
- script-uri
- Al doilea
- securitate
- breșe de securitate
- sensibil
- serviciu
- set
- ea
- pur şi simplu
- întrucât
- deștept
- So
- Social
- Inginerie sociala
- soluţii
- unele
- ceva
- sofisticat
- specific
- Etapă
- puternic
- Stop
- ciudat
- Strict
- stringent
- puternic
- de succes
- astfel de
- surprinzător
- suspicios
- SWIFT
- sistem
- sisteme
- tactică
- vizate
- sarcini
- tehnică
- tehnici de
- decât
- mulțumesc
- acea
- lor
- Lor
- se
- apoi
- Acestea
- ei
- Al treilea
- acest
- minuțios
- aceste
- trei
- Prin
- timp
- la
- instrument
- Unelte
- top
- spre
- Urmă
- truc
- Două
- neschimbat
- în
- subliniere
- pe
- URL-ul
- us
- utilizare
- utilizat
- util
- Utilizator
- folosind
- valabil
- diverse
- viciu
- Vicepreședinte
- victime
- vigilenţă
- a fost
- Ceas
- modalități de
- slab
- au fost
- cand
- care
- în întregime
- voi
- fereastră
- cu
- scrie
- XDR
- zephyrnet