Хакеров научились вычислять еще до проведения кибератаки

Опубликовано at 18:13
248 0

Перед тем, как совершить кибератаку на корпоративную сеть преступники, естественно, ее компрометируют и изучают.

И уже на этом этапе, как показали разработчики системы MaxPatrol SIEM, злоумышленников можно выявлять и пресекать их поползновения.

Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.

В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — Тактики, техники и общеизвестные знания о злоумышленниках) как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак. ATT&CK представляет собой структурированный список известных поведений злоумышленников, скомпилированый в тактики и методы, и выраженный в виде таблиц, а также доступный в формате STIX / TAXII. Поскольку этот список представляет собой довольно полное представление о поведении злоумышленников при компрометации сетей, он полезен для различных наступательных и защитных измерений, представлений и других механизмов.

Не в пользу злоумышленников то, что они зачастую используют для «ориентирования на местности» встроенные инструменты операционных систем.

Новый пакет экспертизы включает в себя правила детектирования 15 популярных техник разведки.  Активность злоумышленников можно обнаружить еще во время попыток хакеров получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты.

Следует отметить, что без специальных средств отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто, так как если хакеры используют существующие реальные учетные записи и встроенные утилиты, то их активность, как правило, теряется в потоке событий.

Пакет экспертизы, посвященный тактике «Разведка» (Discovery), — это пятый пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик. Пакеты, ранее загруженные в MaxPatrol SIEM, продолжают пополняться правилами по мере появления новых способов обнаружения атак. Одновременно с выходом пятого пакета экспертизы первый пакет из серии получил 14 правил корреляции для выявления техник выполнения кода и обхода защиты.

Читайте также на АКБ:

Пять лет назад хакеры выпотрошили Sony. Кто это сделал?

Подписываемся, следим @CyberAgency

Related Post

Встречайте NetSpectre: классическую уязвимость превратили в опасную удаленную атаку

Опубликовано - 31.07.2018 0
Эксперты из Грацского технического университета описали новую уязвимость, связанную с работой механизмов спекулятивного исполнения команд, под названием NetSpectre. Эта дыра,…