在数百种记录在案的 MITRE ATT&CK 技术中,有两种占据主导地位:命令和脚本解释器 (T1059) 以及网络钓鱼 (T1566)。
在一个 10月XNUMX日发布的报告,D3 Security 分析了超过 75,000 起近期网络安全事件。其目标是确定哪些攻击方法最常见。
结果描绘了一幅鲜明的图景:这两种技术比其他所有技术都快了几个数量级,其中顶级技术比第二名技术快了三倍。
对于希望分配有限注意力和资源的防御者来说,这里只是一些最常见的 ATT&CK 技术,以及如何防御它们。
执行:命令和脚本解释器(用于 52.22% 的攻击)
它是什么: 攻击者编写脚本 PowerShell 等流行语言 和 Python 有两个主要目的。最常见的是,它们用于自动执行恶意任务,例如收集数据或下载和提取有效负载。它们对于逃避检测也很有用——绕过防病毒解决方案、扩展检测和响应 (XDR) 等。
这些脚本遥遥领先于这份榜单的第一名,这让 D1 的产品和服务副总裁 Adrianna Chen 感到更加惊讶。 “由于命令和脚本解释器 (T3) 属于执行策略,因此它处于 MITRE ATT&CK 杀伤链的中间阶段,”她说。 “因此,可以公平地假设,早期策略中的其他技术在被 EDR 工具检测到时已经未被检测到。鉴于这一技术在我们的数据集中如此突出,它强调了拥有追溯事件起源的流程的重要性。”
如何防御: 由于恶意脚本是多种多样且多方面的,因此处理它们需要一个全面的事件响应计划,该计划将潜在恶意行为的检测与严格的权限监视和脚本执行策略结合起来。
初始访问:网络钓鱼 (15.44%)
它是什么: 网络钓鱼及其子类别鱼叉式网络钓鱼 (T1566.001-004) 是攻击者访问目标系统和网络的第一种和第三种最常见方式。在一般活动中使用第一个活动,在针对特定个人或组织时使用第二个活动,其目标是强迫受害者泄露关键信息,从而进入敏感帐户和设备。
如何防御: 即使是最聪明、受过最高教育的人 我们中的一些人都陷入了复杂的社会工程之中。频繁的教育和宣传活动可以在一定程度上保护员工免受自身和他们提供的窗口所影响的公司的侵害。
初始访问:有效帐户(3.47%)
它是什么: 通常,成功的网络钓鱼允许攻击者访问合法帐户。这些账户提供了打开原本锁着的门的钥匙,并掩盖了他们的各种不当行为。
如何防御: 当员工不可避免地点击恶意 PDF 或 URL 时, 强大的多因素身份验证 (MFA) 如果没有别的办法的话,它可以充当攻击者跳过的更多障碍。例如,如果陌生用户从遥远的 IP 地址进行连接,或者只是做了一些他们不希望做的事情,异常检测工具也可以提供帮助。
凭证访问:暴力破解 (2.05%)
它是什么: 在过去,暴力攻击是一种更流行的选择,由于弱密码、重用密码和未更改密码的普遍存在,暴力攻击一直存在。在这里,攻击者使用通过用户名和密码组合自动运行的脚本 - 例如 字典攻击 — 访问所需帐户。
如何防御: 此列表中没有任何项目比暴力攻击更容易且完全可以预防。使用足够强的密码可以自行解决问题。其他小机制,例如在重复登录尝试后锁定用户,也可以达到目的。
持久性:账户操纵(1.34%)
它是什么: 一旦攻击者使用网络钓鱼、暴力破解或其他方式访问特权帐户,他们就可以利用该帐户巩固自己在目标系统中的地位。例如,他们可以更改帐户的凭据以锁定其原始所有者,或者可能调整权限以访问比他们现有的更多特权的资源。
如何防御: 为了减轻帐户泄露造成的损害,D3 建议组织对访问敏感资源实施严格的限制,并遵循 最小特权访问原则:授予的访问权限不超过任何用户执行其工作所需的最低级别。
除此之外,它还提供了许多可应用于此技术和其他 MITRE 技术的建议,包括:
-
通过持续监控日志保持警惕,以检测和响应任何可疑帐户活动
-
在网络已受到损害的假设下进行操作,并采取主动措施来减轻潜在的损害
-
通过在检测到已确认的安全漏洞后自动采取对策来简化响应工作,确保快速有效的缓解措施
- :具有
- :是
- 000
- 1
- 15%
- 7
- 75
- 8
- 9
- a
- ACCESS
- 访问
- 账号管理
- 账户
- 法案
- 地址
- 调整
- 采用
- 后
- 驳
- 致力
- 所有类型
- 分配
- 让
- 允许
- 已经
- 还
- 其中
- 我们之间
- an
- 分析
- 和
- 异常检测
- 杀毒软件
- 任何
- 使用
- 四月
- 保健
- 竞技场
- 围绕
- AS
- 承担
- 假设
- 攻击
- 攻击者
- 攻击
- 尝试
- 关注我们
- 认证
- 自动化
- 自动
- 自动化
- 意识
- 远离
- 背部
- 很
- 行为
- 违规
- 蛮力
- by
- 活动
- CAN
- 水泥
- 链
- 更改
- 陈
- 圆
- 点击
- 组合
- 结合
- 命令
- 相当常见
- 常用
- 公司
- 妥协
- 妥协
- CONFIRMED
- 所连接
- 连续
- 外壳
- 凭据
- 资历
- 关键
- 网络安全
- 损伤
- data
- 数据集
- 一年中的
- 处理
- 捍卫者
- 期望
- 检测
- 检测
- 检测
- 确定
- 设备
- 不同
- do
- 不
- 主宰
- 门
- 下载
- 此前
- 容易
- 教育
- 有效
- 工作的影响。
- 其他
- 员工
- 工程师
- 更多
- 保证
- 甚至
- 例子
- 执行
- 预期
- 扩展
- 额外
- 因素
- 公平
- 秋季
- 下降
- 远
- 部分
- 姓氏:
- 固定
- 遵循
- 针对
- 力
- 频繁
- 止
- ,
- Gain增益
- 其他咨询
- 特定
- Go
- 目标
- 走了
- 发放
- 野生捕捞
- 有
- 有
- 帮助
- 这里
- 此处
- 他的
- 创新中心
- How To
- HTTP
- HTTPS
- 数百
- ICON
- if
- 实施
- 重要性
- in
- 事件
- 事件响应
- 包含
- 个人
- 必将
- 信息
- 初始
- 成
- IP
- IP地址
- IT
- 它的
- 工作
- JPEG
- 跳
- 只是
- 键
- 杀
- 语言
- 最少
- 合法
- Level
- 杠杆作用
- 喜欢
- 有限
- 清单
- 小
- 锁
- 锁定
- 锁定
- 登录
- 寻找
- 恶意
- 操作
- 手段
- 措施
- 机制
- 方法
- 外交部
- 中间
- 最低限度
- 减轻
- 监控
- 更多
- 最先进的
- 多面的
- 多因素身份验证
- 必要
- 网络
- 网络
- 没有
- 没什么
- 数
- of
- 优惠精选
- on
- 一
- 附加选项
- or
- 秩序
- 订单
- 组织
- 起源
- 原版的
- 其他名称
- 其它
- 除此以外
- 我们的
- 输出
- 超过
- 己
- 业主
- 密码
- 密码
- 演出
- 权限
- 坚持
- 钓鱼
- 图片
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 热门
- 位置
- 或者
- 潜力
- 可能
- 总统
- 小学
- 特权
- 权限
- 主动
- 市场问题
- 过程
- 产品
- 突出
- 保护
- 提供
- 出版
- 目的
- 蟒蛇
- RE
- 最近
- 建议
- 建议
- 重复
- 需要
- 资源
- 回应
- 响应
- 限制
- 成果
- 运行
- s
- 说
- 脚本
- 脚本
- 其次
- 保安
- 安全漏洞
- 敏感
- 服务
- 集
- 她
- 只是
- 自
- 最聪明的
- So
- 社会
- 社会工程学
- 解决方案
- 一些
- 东西
- 极致
- 具体的
- 阶段
- 与之形成鲜明
- Stop 停止
- 奇怪
- 监督
- 严格
- 强烈
- 成功
- 这样
- 奇怪
- 可疑
- SWIFT的
- 系统
- 产品
- 策略
- 针对
- 任务
- 技术
- 技术
- 比
- 谢谢
- 这
- 其
- 他们
- 他们自己
- 然后
- 博曼
- 他们
- 第三
- Free Introduction
- 彻底
- 那些
- 三
- 通过
- 次
- 至
- 工具
- 工具
- 最佳
- 对于
- 追踪
- 招
- 二
- 不变
- 下
- 下划线
- 上
- 网址
- us
- 使用
- 用过的
- 有用
- 用户
- 运用
- 有效
- 各个
- 副
- 副总裁
- 受害者
- 警觉
- 是
- 了解
- 方法
- 弱
- 为
- ,尤其是
- 这
- 全
- 将
- 窗口
- 写
- XDR
- 和风网