Из сотен документированных методов MITRE ATT&CK в этой области доминируют две: интерпретаторы команд и сценариев (T1059) и фишинг (T1566).
В отчет опубликован 10 апреля, D3 Security проанализировала более 75,000 XNUMX недавних инцидентов кибербезопасности. Его целью было определить, какие методы атаки наиболее распространены.
Результаты рисуют суровую картину: эти два метода опередили все остальные на порядки, причем лучший метод опередил занявшего второе место в три раза.
Для защитников, желающих уделять ограниченное внимание и ресурсы, вот лишь некоторые из наиболее распространенных методов ATT&CK и способы защиты от них.
Выполнение: интерпретатор команд и сценариев (используется в 52.22% атак)
Что это: Злоумышленники пишут скрипты на популярные языки, такие как PowerShell и Python для двух основных целей. Чаще всего они используются для автоматизации вредоносных задач, таких как сбор данных или загрузка и извлечение полезной нагрузки. Они также полезны для уклонения от обнаружения — обхода антивирусных решений, расширенного обнаружения и реагирования (XDR) и тому подобного.
То, что эти сценарии, несомненно, занимают первое место в этом списке, особенно удивительно для Адрианны Чен, вице-президента по продуктам и услугам D1. «Поскольку интерпретатор команд и сценариев (T3) подпадает под тактику «Выполнение», он находится на средней стадии цепочки уничтожений MITRE ATT&CK», — говорит она. «Таким образом, справедливо предположить, что другие методы из более ранних тактик уже остались незамеченными к тому времени, когда они были обнаружены инструментом EDR. Учитывая, что этот метод был настолько заметен в нашем наборе данных, он подчеркивает важность наличия процессов, позволяющих отслеживать происхождение инцидента».
Как защититься от этого: Поскольку вредоносные сценарии разнообразны и многогранны, для борьбы с ними требуется тщательный план реагирования на инциденты, который сочетает в себе обнаружение потенциально вредоносного поведения со строгим контролем за привилегиями и политиками выполнения сценариев.
Первоначальный доступ: Фишинг (15.44%)
Что это: Фишинг и его подкатегория целевой фишинг (T1566.001-004) являются первым и третьим наиболее распространенными способами, с помощью которых злоумышленники получают доступ к целевым системам и сетям. Используя первый вариант в общих кампаниях, а второй — для конкретных лиц или организаций, цель состоит в том, чтобы заставить жертв раскрыть важную информацию, которая позволит получить доступ к конфиденциальным учетным записям и устройствам.
Как защититься от этого: Даже самый умный и образованный среди нас увлекаются сложной социальной инженерией. Частые образовательные и информационные кампании могут в некоторой степени защитить сотрудников от самих себя и компаний, в которые они предоставляют доступ.
Первоначальный доступ: действительные аккаунты (3.47%)
Что это: Зачастую успешный фишинг позволяет злоумышленникам получить доступ к законным учетным записям. Эти учетные записи предоставляют ключи к запертым в противном случае дверям и прикрывают их различные проступки.
Как защититься от этого: Когда сотрудники неизбежно нажимают на этот вредоносный PDF-файл или URL-адрес, надежная многофакторная аутентификация (MFA) может, по крайней мере, служить дополнительным препятствием для злоумышленников, через которые они могут перепрыгнуть. Инструменты обнаружения аномалий также могут помочь, если, например, незнакомый пользователь подключается с удаленного IP-адреса или просто делает что-то, чего от него не ожидают.
Доступ к учетным данным: грубая сила (2.05%)
Что это: Более популярный вариант в былые времена, атаки методом перебора, сохранились благодаря повсеместному распространению слабых, повторно используемых и неизмененных паролей. Здесь злоумышленники используют скрипты, которые автоматически запускают комбинации имени пользователя и пароля — например, в атака по словарю — получить доступ к нужным аккаунтам.
Как защититься от этого: Ни один элемент в этом списке нельзя предотвратить так легко и полностью, как атаки грубой силы. Использование достаточно надежных паролей решает проблему само по себе. Другие небольшие механизмы, такие как блокировка пользователя после повторных попыток входа в систему, также помогают.
Настойчивость: манипулирование счетами (1.34%)
Что это: После того, как злоумышленник использовал фишинг, грубую силу или какие-либо другие средства для доступа к привилегированной учетной записи, он может использовать эту учетную запись, чтобы укрепить свое положение в целевой системе. Например, они могут изменить учетные данные учетной записи, чтобы заблокировать ее первоначального владельца, или, возможно, настроить разрешения, чтобы получить доступ к еще более привилегированным ресурсам, чем у них уже есть.
Как защититься от этого: Чтобы минимизировать ущерб от компрометации учетной записи, D3 рекомендует организациям ввести строгие ограничения на доступ к конфиденциальным ресурсам и следовать принцип наименее привилегированного доступа: предоставление не более минимального уровня доступа, необходимого любому пользователю для выполнения его или ее работы.
Кроме того, он предлагает ряд рекомендаций, которые могут применяться к этому и другим методам MITRE, в том числе:
-
Поддержание бдительности посредством постоянного мониторинга журналов для обнаружения и реагирования на любые подозрительные действия в учетной записи.
-
Действуя исходя из предположения, что сеть уже была скомпрометирована, и принимая упреждающие меры для смягчения потенциального ущерба.
-
Оптимизация мер реагирования за счет автоматизации контрмер при обнаружении подтвержденных нарушений безопасности, обеспечивая быстрое и эффективное устранение последствий.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
- :имеет
- :является
- 000
- 1
- 15%
- 7
- 75
- 8
- 9
- a
- доступ
- доступа
- Учетная запись
- Учетные записи
- Действие (Act):
- адрес
- регулировать
- Принятие
- После
- против
- Стремясь
- Все
- выделять
- позволять
- позволяет
- уже
- причислены
- среди
- среди нас
- an
- проанализированы
- и
- обнаружение аномалии
- антивирус
- любой
- Применить
- апрель
- МЫ
- Арен
- около
- AS
- предполагать
- предположение
- атаковать
- нападающий
- нападки
- попытки
- внимание
- Аутентификация
- автоматизировать
- автоматически
- Автоматизация
- осведомленность
- прочь
- назад
- было
- поведения
- нарушения
- грубая сила
- by
- Кампании
- CAN
- цемент
- цепь
- изменение
- чен
- Circle
- нажмите на
- комбинации
- комбинаты
- команду
- Общий
- обычно
- Компании
- скомпрометированы
- Ослабленный
- ПОДТВЕРЖДЕНО
- подключает
- (CIJ)
- чехол для варгана
- ПОЛНОМОЧИЯ
- Полномочия
- решающее значение
- Информационная безопасность
- повреждение
- данным
- набор данных
- Дней
- занимавшийся
- Защитники
- желанный
- обнаруживать
- обнаруженный
- обнаружение
- Определять
- Устройства
- Разное
- do
- приносит
- Господствовать
- Двери
- загрузка
- Ранее
- легко
- Обучение
- Эффективный
- усилия
- еще
- сотрудников
- Проект и
- достаточно
- обеспечение
- Даже
- пример
- выполнение
- ожидаемый
- расширенная
- дополнительно
- фактор
- ярмарка
- Осень
- Водопад
- далеко
- поле
- First
- исправления
- следовать
- Что касается
- Форс-мажор
- частое
- от
- полный
- Gain
- Общие
- данный
- Go
- цель
- ушел
- предоставление
- Сбор урожая
- Есть
- имеющий
- помощь
- ее
- здесь
- его
- Как
- How To
- HTTP
- HTTPS
- Сотни
- ICON
- if
- осуществлять
- значение
- in
- инцидент
- реакция на инцидент
- В том числе
- лиц
- неизбежно
- информация
- начальный
- в
- IP
- IP-адрес
- IT
- ЕГО
- работа
- JPEG
- Прыгать
- всего
- ключи
- Убийство
- Языки
- наименее
- законный
- уровень
- Кредитное плечо
- такое как
- Ограниченный
- Список
- мало
- Блокировка
- запертый
- блокировка
- Войти
- искать
- злонамеренный
- Манипуляция
- означает
- меры
- механизмы
- методы
- МИД
- средняя
- минимальный
- смягчать
- Мониторинг
- БОЛЕЕ
- самых
- многогранный
- многофакторная аутентификация
- необходимо
- сеть
- сетей
- нет
- ничего
- номер
- of
- Предложения
- on
- ONE
- Опция
- or
- заказ
- заказы
- организации
- происхождения
- оригинал
- Другое
- Другое
- в противном случае
- наши
- внешний
- за
- собственный
- владелец
- Пароль
- пароли
- Выполнять
- Разрешения
- настойчивость
- фишинг
- картина
- план
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- сборах
- Популярное
- должность
- возможно
- потенциал
- потенциально
- президент
- первичный
- привилегированный
- привилегии
- Проактивная
- Проблема
- Процессы
- Продукт
- видный
- защищающий
- обеспечивать
- опубликованный
- целей
- Питон
- RE
- последний
- рекомендаций
- рекомендует
- повторный
- требуется
- Полезные ресурсы
- Реагируйте
- ответ
- Ограничения
- Итоги
- Run
- s
- говорит
- скрипт
- скрипты
- Во-вторых
- безопасность
- нарушения безопасности
- чувствительный
- обслуживание
- набор
- она
- просто
- с
- смышленым
- So
- Соцсети
- Социальная инженерия
- Решения
- некоторые
- удалось
- сложный
- конкретный
- Этап
- сильно
- Stop
- странный
- Строгий
- строгий
- сильный
- успешный
- такие
- удивительный
- подозрительный
- SWIFT
- система
- системы
- тактика
- целевое
- задачи
- техника
- снижения вреда
- чем
- Спасибо
- который
- Ассоциация
- их
- Их
- сами
- тогда
- Эти
- они
- В третьих
- этой
- тщательный
- те
- три
- Через
- время
- в
- инструментом
- инструменты
- топ
- к
- Прослеживать
- трюк
- два
- без изменений
- под
- нижнее подчеркивание
- на
- URL
- us
- использование
- используемый
- полезный
- Информация о пользователе
- через
- действительный
- различный
- вице
- вице-президент
- жертвы
- зоркость
- законопроект
- Смотреть
- способы
- слабый
- были
- когда
- который
- полностью
- будете
- окно
- записывать
- XDR
- зефирнет