Із сотень задокументованих методів MITER ATT&CK два домінують у цій галузі: інтерпретатори команд і сценаріїв (T1059) і фішинг (T1566).
В звіт опубліковано 10 квітня, D3 Security проаналізувала понад 75,000 XNUMX останніх інцидентів кібербезпеки. Його мета полягала в тому, щоб визначити, які методи атаки були найпоширенішими.
Результати малюють яскраву картину: ці дві техніки випередили всі інші на порядки, причому найкраща техніка випередила техніку, яка посіла друге місце, у три рази.
Для захисників, які хочуть приділити обмежену увагу та ресурси, ось лише деякі з найпоширеніших прийомів ATT&CK і способи захисту від них.
Виконання: інтерпретатор команд і сценаріїв (використовується в 52.22% атак)
Що це: Зловмисники записують сценарії популярні мови, такі як PowerShell і Python для двох основних цілей. Найчастіше вони використовуються для автоматизації зловмисних завдань, таких як збір даних або завантаження й вилучення корисного навантаження. Вони також корисні для уникнення виявлення — в обхід антивірусних рішень, розширеного виявлення та реагування (XDR) тощо.
Адріанну Чен, віце-президента D1 із продуктів і послуг, надзвичайно здивувало те, що ці сценарії займають перше місце в цьому списку. «Оскільки Інтерпретатор команд і сценаріїв (T3) підпадає під тактику Виконання, він знаходиться на середньому етапі ланцюжка вбивств MITRE ATT&CK», — каже вона. «Отже, справедливо припустити, що інші методи з попередніх тактик уже залишилися непоміченими до того часу, коли їх виявив інструмент EDR. З огляду на те, що ця методика була настільки помітною в нашому наборі даних, це підкреслює важливість наявності процесів для відстеження походження інциденту».
Як захиститися від нього: Оскільки шкідливі сценарії є різноманітними та багатогранними, робота з ними вимагає ретельного плану реагування на інциденти, який поєднує виявлення потенційно шкідливих дій із суворим наглядом за привілеями та політикою виконання сценаріїв.
Початковий доступ: фішинг (15.44%)
Що це: Фішинг і його підкатегорія, spear-phishing (T1566.001-004), є першим і третім найпоширенішими способами зловмисників отримати доступ до цільових систем і мереж. Використовуючи перший у загальних кампаніях і другий, коли націлені на конкретних осіб чи організації, мета полягає в тому, щоб змусити жертв оприлюднити важливу інформацію, яка дозволить отримати доступ до конфіденційних облікових записів і пристроїв.
Як захиститися від нього: Навіть найрозумніші та найосвіченіші серед нас захоплюються складною соціальною інженерією. Часті просвітницькі та просвітницькі кампанії можуть певною мірою захистити працівників від них самих та компаній, у які вони відкривають вікно.
Початковий доступ: дійсні облікові записи (3.47%)
Що це: Часто успішний фішинг дозволяє зловмисникам отримати доступ до законних облікових записів. Ці облікові записи надають ключі від закритих дверей і прикривають різні злочини.
Як захиститися від нього: Коли співробітники неминуче натискають цей шкідливий файл PDF або URL-адресу, надійна багатофакторна автентифікація (MFA) може, якщо нічого іншого, діяти як додаткові обручі, через які зловмисники можуть перескочити. Інструменти виявлення аномалій також можуть допомогти, якщо, наприклад, незнайомий користувач підключається з віддаленої IP-адреси або просто робить те, що від нього не очікується.
Доступ до облікових даних: груба сила (2.05%)
Що це: Більш популярний варіант у минулі часи, атаки грубої сили застрягли завдяки повсюдному поширенню слабких, повторно використовуваних і незмінених паролів. Тут зловмисники використовують сценарії, які автоматично запускаються через комбінації імені користувача та пароля — наприклад, у атака за словником — отримати доступ до потрібних акаунтів.
Як захиститися від нього: Жодному пункту в цьому списку не можна так легко й повністю запобігти, як атакам грубої сили. Використання досить надійних паролів вирішує проблему самостійно, крапка. Інші невеликі механізми, як-от блокування користувача після повторних спроб входу, також спрацьовують.
Наполегливість: маніпуляції з обліковим записом (1.34%)
Що це: Після того, як зловмисник використав фішинг, грубу силу чи інші засоби для доступу до привілейованого облікового запису, він може використати цей обліковий запис, щоб зміцнити своє становище в цільовій системі. Наприклад, вони можуть змінити облікові дані облікового запису, щоб заблокувати його початкового власника, або, можливо, налаштувати дозволи, щоб отримати доступ до ще більш привілейованих ресурсів, ніж вони вже мають.
Як захиститися від нього: Щоб зменшити шкоду від зламу облікового запису, D3 рекомендує організаціям запровадити суворі обмеження на доступ до конфіденційних ресурсів і дотримуватися принцип найменш привілейованого доступу: надання не більше ніж мінімальний рівень доступу, необхідний будь-якому користувачеві для виконання його або її роботи.
Крім того, він пропонує низку рекомендацій, які можна застосувати до цієї та інших технік MITRE, зокрема:
-
Підтримуйте пильність шляхом постійного моніторингу журналів, щоб виявляти будь-які підозрілі дії в обліковому записі та реагувати на них
-
Робота в припущенні, що мережу вже скомпрометовано, і вжиття профілактичних заходів для пом’якшення потенційної шкоди
-
Оптимізація зусиль реагування шляхом автоматизації контрзаходів після виявлення підтверджених порушень безпеки, забезпечення швидкого та ефективного пом’якшення
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
- : має
- :є
- 000
- 1
- 15%
- 7
- 75
- 8
- 9
- a
- доступ
- доступ до
- рахунки
- Рахунки
- Діяти
- адреса
- регулювати
- Прийняття
- після
- проти
- прицілювання
- ВСІ
- виділяти
- дозволяти
- дозволяє
- вже
- Також
- серед
- серед нас
- an
- проаналізовані
- та
- виявлення аномалії
- антивірус
- будь-який
- Застосовувати
- квітня
- ЕСТЬ
- арен
- навколо
- AS
- припустити
- припущення
- атака
- нападаючий
- нападки
- Спроби
- увагу
- Authentication
- автоматизувати
- автоматично
- автоматизація
- обізнаність
- геть
- назад
- було
- поведінки
- порушення
- груба сила
- by
- Кампанії
- CAN
- цемент
- ланцюг
- зміна
- Чень
- Коло
- клацання
- комбінації
- комбінати
- команда
- загальний
- зазвичай
- Компанії
- компроміс
- Компрометація
- Підтверджено
- з'єднує
- безперервний
- обкладинка
- ІНТЕРЕНЦІЙНИЙ
- Повноваження
- вирішальне значення
- Кібербезпека
- пошкодження
- дані
- набір даних
- Днів
- справу
- Захисники
- бажаний
- виявляти
- виявлено
- Виявлення
- Визначати
- прилади
- Різне
- do
- робить
- Домінувати
- Двері
- Завантаження
- Раніше
- легко
- Освіта
- Ефективний
- зусилля
- ще
- співробітників
- Машинобудування
- досить
- забезпечення
- Навіть
- приклад
- виконання
- очікуваний
- розширений
- додатково
- фактор
- ярмарок
- Падати
- Фолс
- далеко
- поле
- Перший
- фіксований
- стежити
- для
- Примусово
- частий
- від
- Повний
- Отримувати
- Загальне
- даний
- Go
- мета
- пішов
- Надання
- збирання врожаю
- Мати
- має
- допомога
- її
- тут
- його
- Як
- How To
- HTTP
- HTTPS
- Сотні
- ICON
- if
- здійснювати
- значення
- in
- інцидент
- реагування на інциденти
- У тому числі
- осіб
- неминуче
- інформація
- початковий
- в
- IP
- IP-адреса
- IT
- ЙОГО
- робота
- JPEG
- стрибати
- просто
- ключі
- вбити
- мови
- найменш
- законний
- рівень
- Важіль
- як
- обмеженою
- список
- трохи
- замикати
- замкнений
- блокування
- Логін
- шукати
- malicious
- Маніпуляція
- засоби
- заходи
- механізми
- методика
- МЗС
- Середній
- мінімальний
- Пом'якшити
- моніторинг
- більше
- найбільш
- багатогранний
- багатофакторна аутентифікація
- необхідно
- мережу
- мереж
- немає
- нічого
- номер
- of
- Пропозиції
- on
- ONE
- варіант
- or
- порядок
- замовлень
- організації
- походження
- оригінал
- Інше
- інші
- інакше
- наші
- з
- над
- власний
- власник
- Пароль
- Паролі
- Виконувати
- Дозволи
- наполегливість
- phishing
- картина
- план
- plato
- Інформація про дані Платона
- PlatoData
- Політика
- популярний
- положення
- можливо
- потенціал
- потенційно
- президент
- первинний
- привілейовані
- привілеї
- Проактивний
- Проблема
- процеси
- Product
- видатний
- захищає
- забезпечувати
- опублікований
- цілей
- Python
- RE
- останній
- рекомендації
- рекомендує
- повторний
- Вимагається
- ресурси
- Реагувати
- відповідь
- Обмеження
- результати
- прогін
- s
- говорить
- сценарій
- scripts
- другий
- безпеку
- Порушення безпеки
- чутливий
- обслуговування
- комплект
- вона
- просто
- з
- найрозумніший
- So
- соціальна
- Соціальна інженерія
- Рішення
- деякі
- що в сім'ї щось
- складний
- конкретний
- Стажування
- різко
- Стоп
- дивний
- Strict
- строгий
- сильний
- успішний
- такі
- дивно
- підозрілі
- SWIFT
- система
- Systems
- тактика
- цільове
- завдання
- техніка
- методи
- ніж
- Дякую
- Що
- Команда
- їх
- Їх
- самі
- потім
- Ці
- вони
- третій
- це
- ретельний
- ті
- три
- через
- час
- до
- інструмент
- інструменти
- топ
- до
- Трасування
- трюк
- два
- без змін
- при
- нижнє підкреслення
- на
- URL
- us
- використання
- використовуваний
- корисний
- користувач
- використання
- дійсний
- різний
- віце
- Віцепрезидент
- жертви
- пильність
- було
- годинник
- способи
- слабкий
- були
- коли
- який
- повністю
- волі
- вікно
- з
- запис
- XDR
- зефірнет