Із сотень задокументованих методів MITER ATT&CK два домінують у цій галузі: інтерпретатори команд і сценаріїв (T1059) і фішинг (T1566).
В звіт опубліковано 10 квітня, D3 Security проаналізувала понад 75,000 XNUMX останніх інцидентів кібербезпеки. Його мета полягала в тому, щоб визначити, які методи атаки були найпоширенішими.
Результати малюють яскраву картину: ці дві техніки випередили всі інші на порядки, причому найкраща техніка випередила техніку, яка посіла друге місце, у три рази.
Для захисників, які хочуть приділити обмежену увагу та ресурси, ось лише деякі з найпоширеніших прийомів ATT&CK і способи захисту від них.
Виконання: інтерпретатор команд і сценаріїв (використовується в 52.22% атак)
Що це: Зловмисники записують сценарії популярні мови, такі як PowerShell і Python для двох основних цілей. Найчастіше вони використовуються для автоматизації зловмисних завдань, таких як збір даних або завантаження й вилучення корисного навантаження. Вони також корисні для уникнення виявлення — в обхід антивірусних рішень, розширеного виявлення та реагування (XDR) тощо.
Адріанну Чен, віце-президента D1 із продуктів і послуг, надзвичайно здивувало те, що ці сценарії займають перше місце в цьому списку. «Оскільки Інтерпретатор команд і сценаріїв (T3) підпадає під тактику Виконання, він знаходиться на середньому етапі ланцюжка вбивств MITRE ATT&CK», — каже вона. «Отже, справедливо припустити, що інші методи з попередніх тактик уже залишилися непоміченими до того часу, коли їх виявив інструмент EDR. З огляду на те, що ця методика була настільки помітною в нашому наборі даних, це підкреслює важливість наявності процесів для відстеження походження інциденту».
Як захиститися від нього: Оскільки шкідливі сценарії є різноманітними та багатогранними, робота з ними вимагає ретельного плану реагування на інциденти, який поєднує виявлення потенційно шкідливих дій із суворим наглядом за привілеями та політикою виконання сценаріїв.
Початковий доступ: фішинг (15.44%)
Що це: Фішинг і його підкатегорія, spear-phishing (T1566.001-004), є першим і третім найпоширенішими способами зловмисників отримати доступ до цільових систем і мереж. Використовуючи перший у загальних кампаніях і другий, коли націлені на конкретних осіб чи організації, мета полягає в тому, щоб змусити жертв оприлюднити важливу інформацію, яка дозволить отримати доступ до конфіденційних облікових записів і пристроїв.
Як захиститися від нього: Навіть найрозумніші та найосвіченіші серед нас захоплюються складною соціальною інженерією. Часті просвітницькі та просвітницькі кампанії можуть певною мірою захистити працівників від них самих та компаній, у які вони відкривають вікно.
Початковий доступ: дійсні облікові записи (3.47%)
Що це: Часто успішний фішинг дозволяє зловмисникам отримати доступ до законних облікових записів. Ці облікові записи надають ключі від закритих дверей і прикривають різні злочини.
Як захиститися від нього: Коли співробітники неминуче натискають цей шкідливий файл PDF або URL-адресу, надійна багатофакторна автентифікація (MFA) може, якщо нічого іншого, діяти як додаткові обручі, через які зловмисники можуть перескочити. Інструменти виявлення аномалій також можуть допомогти, якщо, наприклад, незнайомий користувач підключається з віддаленої IP-адреси або просто робить те, що від нього не очікується.
Доступ до облікових даних: груба сила (2.05%)
Що це: Більш популярний варіант у минулі часи, атаки грубої сили застрягли завдяки повсюдному поширенню слабких, повторно використовуваних і незмінених паролів. Тут зловмисники використовують сценарії, які автоматично запускаються через комбінації імені користувача та пароля — наприклад, у атака за словником — отримати доступ до потрібних акаунтів.
Як захиститися від нього: Жодному пункту в цьому списку не можна так легко й повністю запобігти, як атакам грубої сили. Використання досить надійних паролів вирішує проблему самостійно, крапка. Інші невеликі механізми, як-от блокування користувача після повторних спроб входу, також спрацьовують.
Наполегливість: маніпуляції з обліковим записом (1.34%)
Що це: Після того, як зловмисник використав фішинг, грубу силу чи інші засоби для доступу до привілейованого облікового запису, він може використати цей обліковий запис, щоб зміцнити своє становище в цільовій системі. Наприклад, вони можуть змінити облікові дані облікового запису, щоб заблокувати його початкового власника, або, можливо, налаштувати дозволи, щоб отримати доступ до ще більш привілейованих ресурсів, ніж вони вже мають.
Як захиститися від нього: Щоб зменшити шкоду від зламу облікового запису, D3 рекомендує організаціям запровадити суворі обмеження на доступ до конфіденційних ресурсів і дотримуватися принцип найменш привілейованого доступу: надання не більше ніж мінімальний рівень доступу, необхідний будь-якому користувачеві для виконання його або її роботи.
Крім того, він пропонує низку рекомендацій, які можна застосувати до цієї та інших технік MITRE, зокрема:
-
Підтримуйте пильність шляхом постійного моніторингу журналів, щоб виявляти будь-які підозрілі дії в обліковому записі та реагувати на них
-
Робота в припущенні, що мережу вже скомпрометовано, і вжиття профілактичних заходів для пом’якшення потенційної шкоди
-
Оптимізація зусиль реагування шляхом автоматизації контрзаходів після виявлення підтверджених порушень безпеки, забезпечення швидкого та ефективного пом’якшення
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
