Trong số hàng trăm kỹ thuật MITER ATT&CK được ghi lại, có hai kỹ thuật chiếm ưu thế trong lĩnh vực này: trình thông dịch lệnh và tập lệnh (T1059) và lừa đảo (T1566).
Trong một báo cáo được công bố vào ngày 10 tháng XNUMX, D3 Security đã phân tích hơn 75,000 sự cố an ninh mạng gần đây. Mục tiêu của nó là xác định phương pháp tấn công nào là phổ biến nhất.
Kết quả đã vẽ nên một bức tranh rõ ràng: hai kỹ thuật đó vượt trội hơn tất cả các kỹ thuật khác theo bậc độ lớn, trong đó kỹ thuật hàng đầu vượt xa người về nhì theo hệ số ba.
Đối với những người phòng thủ muốn phân bổ sự chú ý và nguồn lực hạn chế, đây chỉ là một số kỹ thuật ATT&CK phổ biến nhất và cách phòng thủ trước chúng.
Thực thi: Trình thông dịch lệnh và tập lệnh (Được sử dụng trong 52.22% các cuộc tấn công)
Những gì nó là: Kẻ tấn công viết kịch bản trong ngôn ngữ phổ biến như PowerShell và Python cho hai mục đích chính. Thông thường nhất, chúng được sử dụng để tự động hóa các tác vụ độc hại như thu thập dữ liệu hoặc tải xuống và trích xuất một trọng tải. Chúng cũng hữu ích trong việc tránh bị phát hiện — bỏ qua các giải pháp chống vi-rút, phát hiện và phản hồi mở rộng (XDR), v.v.
Việc những tập lệnh này ngày càng chiếm vị trí số 1 trong danh sách này là điều vô cùng ngạc nhiên đối với Adrianna Chen, phó chủ tịch sản phẩm và dịch vụ của D3. Cô nói: “Vì Trình thông dịch lệnh và tập lệnh (T1059) nằm trong chiến thuật Thực thi nên nó đang ở giai đoạn giữa của chuỗi tiêu diệt MITER ATT&CK. “Vì vậy, thật công bằng khi cho rằng các kỹ thuật khác từ các chiến thuật trước đó đã không bị phát hiện vào thời điểm nó được công cụ EDR phát hiện. Vì kỹ thuật này rất nổi bật trong tập dữ liệu của chúng tôi, nó nhấn mạnh tầm quan trọng của việc có các quy trình để truy tìm nguồn gốc của một sự cố.”
Làm thế nào để bảo vệ chống lại nó: Bởi vì các tập lệnh độc hại rất đa dạng và nhiều mặt nên việc xử lý chúng đòi hỏi phải có kế hoạch ứng phó sự cố kỹ lưỡng, kết hợp việc phát hiện các hành vi độc hại tiềm ẩn với việc giám sát chặt chẽ các đặc quyền và chính sách thực thi tập lệnh.
Truy cập ban đầu: Lừa đảo (15.44%)
Những gì nó là: Lừa đảo trực tuyến và danh mục phụ của nó, lừa đảo trực tuyến (T1566.001-004), là cách phổ biến thứ nhất và thứ ba mà kẻ tấn công có được quyền truy cập vào các hệ thống và mạng được nhắm mục tiêu. Sử dụng chiến dịch đầu tiên trong các chiến dịch chung và chiến dịch thứ hai khi nhắm đến các cá nhân hoặc tổ chức cụ thể, mục tiêu là ép buộc nạn nhân tiết lộ thông tin quan trọng sẽ tạo chỗ đứng cho các tài khoản và thiết bị nhạy cảm.
Làm thế nào để bảo vệ chống lại nó: Ngay cả những người thông minh nhất và có học thức nhất trong số chúng ta rơi vào kỹ thuật xã hội phức tạp. Các chiến dịch giáo dục và nâng cao nhận thức thường xuyên có thể giúp bảo vệ nhân viên khỏi chính họ và các công ty mà họ có cơ hội tiếp cận.
Truy cập ban đầu: Tài khoản hợp lệ (3.47%)
Những gì nó là: Thông thường, lừa đảo thành công sẽ cho phép kẻ tấn công truy cập vào các tài khoản hợp pháp. Những tài khoản này cung cấp chìa khóa cho những cánh cửa bị khóa và che đậy những hành vi sai trái khác nhau của họ.
Làm thế nào để bảo vệ chống lại nó: Khi nhân viên chắc chắn nhấp vào tệp PDF hoặc URL độc hại đó, xác thực đa yếu tố mạnh mẽ (MFA) có thể, nếu không có gì khác, hoạt động như nhiều vòng hơn để kẻ tấn công nhảy qua. Các công cụ phát hiện bất thường cũng có thể hữu ích, chẳng hạn như nếu một người dùng lạ kết nối từ một địa chỉ IP ở xa hoặc đơn giản là làm điều gì đó mà họ không mong muốn.
Quyền truy cập thông tin xác thực: Brute Force (2.05%)
Những gì nó là: Một lựa chọn phổ biến hơn vào thời xa xưa, các cuộc tấn công vũ phu đã xảy ra nhờ vào sự phổ biến của các mật khẩu yếu, được sử dụng lại và không thay đổi. Ở đây, kẻ tấn công sử dụng các tập lệnh tự động chạy thông qua các kết hợp tên người dùng và mật khẩu - chẳng hạn như trong một cuộc tấn công từ điển — để có quyền truy cập vào các tài khoản mong muốn.
Làm thế nào để bảo vệ chống lại nó: Không có mục nào trong danh sách này có thể ngăn chặn được dễ dàng và hoàn toàn như các cuộc tấn công vũ phu. Sử dụng mật khẩu đủ mạnh sẽ tự khắc phục được sự cố. Các cơ chế nhỏ khác, như khóa người dùng sau nhiều lần đăng nhập, cũng thực hiện thủ thuật này.
Kiên trì: Thao túng tài khoản (1.34%)
Những gì nó là: Khi kẻ tấn công đã sử dụng lừa đảo, vũ lực hoặc một số phương tiện khác để truy cập vào tài khoản đặc quyền, chúng có thể tận dụng tài khoản đó để củng cố vị trí của mình trong hệ thống được nhắm mục tiêu. Ví dụ: họ có thể thay đổi thông tin xác thực của tài khoản để khóa chủ sở hữu ban đầu hoặc có thể điều chỉnh quyền để truy cập nhiều tài nguyên đặc quyền hơn những gì họ đã có.
Làm thế nào để bảo vệ chống lại nó: Để giảm thiểu thiệt hại do xâm phạm tài khoản, D3 khuyến nghị các tổ chức nên thực hiện các hạn chế nghiêm ngặt đối với việc truy cập các tài nguyên nhạy cảm và tuân theo nguyên tắc truy cập đặc quyền tối thiểu: cấp không quá mức truy cập tối thiểu cần thiết cho bất kỳ người dùng nào để thực hiện công việc của mình.
Ngoài ra, nó còn đưa ra một số khuyến nghị có thể áp dụng cho kỹ thuật này và các kỹ thuật MITER khác, bao gồm:
-
Duy trì cảnh giác thông qua việc theo dõi nhật ký liên tục để phát hiện và phản hồi mọi hoạt động tài khoản đáng ngờ
-
Hoạt động với giả định rằng mạng đã bị xâm phạm và áp dụng các biện pháp chủ động để giảm thiểu thiệt hại tiềm ẩn
-
Hợp lý hóa các nỗ lực ứng phó bằng cách tự động hóa các biện pháp đối phó khi phát hiện các vi phạm an ninh đã được xác nhận, đảm bảo giảm thiểu nhanh chóng và hiệu quả
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
- : có
- :là
- 000
- 1
- 15%
- 7
- 75
- 8
- 9
- a
- truy cập
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- Hành động
- địa chỉ
- điều chỉnh
- Nhận nuôi
- Sau
- chống lại
- Định hướng
- Tất cả
- chỉ định
- cho phép
- cho phép
- Đã
- Ngoài ra
- trong số
- giữa chúng ta
- an
- phân tích
- và
- phát hiện bất thường
- antivirus
- bất kì
- Đăng Nhập
- Tháng Tư
- LÀ
- aren
- xung quanh
- AS
- đảm đương
- giả định
- tấn công
- kẻ tấn công
- Các cuộc tấn công
- Nỗ lực
- sự chú ý
- Xác thực
- tự động hóa
- tự động
- tự động hóa
- nhận thức
- xa
- trở lại
- được
- hành vi
- vi phạm
- bạo lực
- by
- Chiến dịch
- CAN
- xi măng
- chuỗi
- thay đổi
- chen
- Vòng tròn
- Nhấp chuột
- kết hợp
- kết hợp
- lệnh
- Chung
- thông thường
- Các công ty
- thỏa hiệp
- Thỏa hiệp
- XÁC NHẬN
- connect
- liên tục
- che
- CHỨNG CHỈ
- Credentials
- quan trọng
- An ninh mạng
- hư hại
- dữ liệu
- tập dữ liệu
- Ngày
- xử lý
- Hậu vệ
- mong muốn
- phát hiện
- phát hiện
- Phát hiện
- Xác định
- Thiết bị (Devices)
- khác nhau
- do
- làm
- Thống trị
- cửa ra vào
- đang tải xuống
- Sớm hơn
- dễ dàng
- Đào tạo
- Hiệu quả
- những nỗ lực
- khác
- nhân viên
- Kỹ Sư
- đủ
- đảm bảo
- Ngay cả
- ví dụ
- thực hiện
- dự kiến
- gia tăng
- thêm
- yếu tố
- công bằng
- Rơi
- Ngã
- xa
- lĩnh vực
- Tên
- nhất định
- theo
- Trong
- Buộc
- thường xuyên
- từ
- Full
- Thu được
- Tổng Quát
- được
- Go
- mục tiêu
- đi
- cấp
- thu hoạch
- Có
- có
- giúp đỡ
- cô
- tại đây
- của mình
- Độ đáng tin của
- Hướng dẫn
- http
- HTTPS
- Hàng trăm
- ICON
- if
- thực hiện
- tầm quan trọng
- in
- sự cố
- ứng phó sự cố
- Bao gồm
- các cá nhân
- chắc chắn
- thông tin
- ban đầu
- trong
- IP
- Địa chỉ IP
- IT
- ITS
- Việc làm
- jpeg
- nhảy
- chỉ
- phím
- Giết chết
- Ngôn ngữ
- ít nhất
- hợp pháp
- Cấp
- Tỉ lệ đòn bẩy
- Lượt thích
- Hạn chế
- Danh sách
- ít
- khóa
- khóa
- khóa
- đăng nhập
- tìm kiếm
- độc hại
- Thao tác
- có nghĩa
- các biện pháp
- cơ chế
- phương pháp
- MFA
- Tên đệm
- tối thiểu
- Giảm nhẹ
- giám sát
- chi tiết
- hầu hết
- nhiều mặt
- xác thực đa yếu tố
- cần thiết
- mạng
- mạng
- Không
- không
- con số
- of
- Cung cấp
- on
- ONE
- Tùy chọn
- or
- gọi món
- đơn đặt hàng
- tổ chức
- nguồn gốc
- nguyên
- Nền tảng khác
- Khác
- nếu không thì
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- kết thúc
- riêng
- chủ sở hữu
- Mật khẩu
- Mật khẩu
- Thực hiện
- quyền
- kiên trì
- Lừa đảo
- hình ảnh
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Chính sách
- Phổ biến
- vị trí
- có thể
- tiềm năng
- có khả năng
- Chủ tịch
- chính
- đặc quyền đặc lợi
- đặc quyền
- Chủ động
- Vấn đề
- Quy trình
- Sản phẩm
- nổi bật
- bảo vệ
- cho
- công bố
- mục đích
- Python
- RE
- gần đây
- khuyến nghị
- đề nghị
- lặp đi lặp lại
- đòi hỏi
- Thông tin
- Trả lời
- phản ứng
- hạn chế
- Kết quả
- chạy
- s
- nói
- kịch bản
- kịch bản
- Thứ hai
- an ninh
- vi phạm an ninh
- nhạy cảm
- dịch vụ
- định
- chị ấy
- đơn giản
- kể từ khi
- thông minh nhất
- So
- Mạng xã hội
- Kỹ thuật xã hội
- Giải pháp
- một số
- một cái gì đó
- tinh vi
- riêng
- Traineeship
- ngay đơ
- Dừng
- lạ
- Nghiêm ngặt
- nghiêm khắc
- mạnh mẽ
- thành công
- như vậy
- thật ngạc nhiên
- đáng ngờ
- SWIFT
- hệ thống
- hệ thống
- chiến thuật
- nhắm mục tiêu
- nhiệm vụ
- kỹ thuật
- kỹ thuật
- hơn
- Cảm ơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- tự
- sau đó
- Kia là
- họ
- Thứ ba
- điều này
- triệt để
- những
- số ba
- Thông qua
- thời gian
- đến
- công cụ
- công cụ
- hàng đầu
- đối với
- Dấu vết
- lừa
- hai
- không thay đổi
- Dưới
- gạch
- trên
- URL
- us
- sử dụng
- đã sử dụng
- hữu ích
- người sử dang
- sử dụng
- hợp lệ
- khác nhau
- phó
- Phó Chủ Tịch
- nạn nhân
- cảnh giác
- là
- Đồng hồ đeo tay
- cách
- yếu
- là
- khi nào
- cái nào
- hoàn toàn
- sẽ
- cửa sổ
- với
- viết
- XDR
- zephyrnet