Какие техники MITRE ATT&CK наиболее часто встречаются в реальных инцидентах и что сделать для их нейтрализации? Разбираемся на основе статистики сервисов Incident Response и MDR.
Недавние отчеты экспертов, посвященные статистике сервиса мониторинга и реагирования (MDR) и сервиса реагирования на инциденты (IR) за 2023 год, показывают, что в большинстве кибератак применяются всего несколько техник, повторяемых из раза в раз. Они встречаются как в атаках, доведенных до конца и приведших к ущербу, так и в инцидентах, остановленных на ранних стадиях. Мы решили перечислить эти техники, опираясь на классификацию ATT&CK, и обобщить рекомендации экспертов по их нейтрализации. С частотой применения каждой техники и конкретными примерами можно ознакомиться в самих отчетах.
1. Эксплуатация публично доступных приложений
Что это: использование уязвимостей в приложениях организации, доступных через Интернет, таких как веб-серверы, серверы Exchange, базы данных и панели управления IT-инфраструктурой.
Как защититься: обновление ПО на периметре сети, использование дополнительных мер защиты, регулярное сканирование внешнего периметра.
2. Фишинг
Что это: массовая или таргетированная рассылка сообщений по e-mail, SMS и мессенджерам для получения учетных данных или загрузки вредоносного контента.
Как защититься: повышение осведомленности сотрудников, использование защитных решений для почтовых серверов, внедрение решений для защиты мобильных устройств.
3. Действительные учетные записи, скомпрометированные атакующими
Что это: использование учетных данных сотрудников для начального проникновения в сеть и дальнейшего развития атаки.
Как защититься: применение многофакторной аутентификации, принципа наименьших привилегий, уникальных паролей для каждого компьютера.
4. Подбор пароля
Что это: нахождение паролей к аккаунтам методом полного перебора или подбора по известному хешу.
Как защититься: установка парольных политик, ограничение числа попыток ввода пароля, мониторинг неудачных попыток аутентификации.
5. Доверительные отношения
Что это: компрометация организации через ее партнеров и подрядчиков.
Как защититься: аудит внешних доступов, применение принципа наименьших привилегий, сегментация сети.
6. Скриптовые языки и командные оболочки
Что это: использование легитимных инструментов выполнения сценариев, таких как PowerShell, для выполнения собственного кода.
Как защититься: использование allowlisting, отслеживание запуска скриптовых интерпретаторов, мониторинг аномальных действий пользователей.
7. Манипуляции с учетной записью
Что это: изменения в учетных записях, включая добавление в привилегированные группы и изменение разрешений.
Как защититься: применение принципа наименьших привилегий, регулярная инвентаризация учетных записей.
8. Использование уязвимостей удаленных служб
Что это: эксплуатация уязвимостей приложений на компьютерах в сети для получения доступа к другим устройствам.
Как защититься: своевременное обновление ПО, использование сегментации сети.
9. Запуск системных служб
Что это: использование системных служб, таких как PsExec, для выполнения вредоносных задач.
Как защититься: мониторинг аномального поведения служб, ограничение возможностей низкопривилегированных пользователей.
10. LOLBins
При атаках используются легитимные инструменты администрирования, такие как AnyDesk, Mimikatz и Metasploit, чтобы скрыться в сети и провести атаку незаметно. Защита от подобных инструментов требует комплексного подхода и использования средств мониторинга.
Если вы хотите получить лучшие решения по IT-безопасности, то мы ждем вас на нашем сайте https://usertech.ru/. Присоединяйтесь к нам и будьте в курсе всех новостей и возможностей, которые мы предлагаем!
