Хакеров научились вычислять еще до проведения кибератаки

Опубликовано at 18:13
199 0

Перед тем, как совершить кибератаку на корпоративную сеть преступники, естественно, ее компрометируют и изучают.

И уже на этом этапе, как показали разработчики системы MaxPatrol SIEM, злоумышленников можно выявлять и пресекать их поползновения.

Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.

В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — Тактики, техники и общеизвестные знания о злоумышленниках) как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак. ATT&CK представляет собой структурированный список известных поведений злоумышленников, скомпилированый в тактики и методы, и выраженный в виде таблиц, а также доступный в формате STIX / TAXII. Поскольку этот список представляет собой довольно полное представление о поведении злоумышленников при компрометации сетей, он полезен для различных наступательных и защитных измерений, представлений и других механизмов.

Не в пользу злоумышленников то, что они зачастую используют для «ориентирования на местности» встроенные инструменты операционных систем.

Новый пакет экспертизы включает в себя правила детектирования 15 популярных техник разведки.  Активность злоумышленников можно обнаружить еще во время попыток хакеров получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты.

Следует отметить, что без специальных средств отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто, так как если хакеры используют существующие реальные учетные записи и встроенные утилиты, то их активность, как правило, теряется в потоке событий.

Пакет экспертизы, посвященный тактике «Разведка» (Discovery), — это пятый пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик. Пакеты, ранее загруженные в MaxPatrol SIEM, продолжают пополняться правилами по мере появления новых способов обнаружения атак. Одновременно с выходом пятого пакета экспертизы первый пакет из серии получил 14 правил корреляции для выявления техник выполнения кода и обхода защиты.

Читайте также на АКБ:

Пять лет назад хакеры выпотрошили Sony. Кто это сделал?

Подписываемся, следим @CyberAgency

Related Post

Ужесточавшего криптовалютное законодательство корейского чиновника нашли мертвым

Опубликовано - 20.02.2018 0
Решения по регулированию криптовалют в Южной Корее сильно влияли на курс биткоина и всех альткоинов. Чиновника, который закручивал гайки, звали…

США выявили инструменты хакеров Северной Кореи

Опубликовано - 15.11.2017 0
Министерство внутренней безопасности Соединенных Штатов поделилось подробностями об инструментах взлома, которые используются хакерской группой, связанной с правительством Северной Кореи, она…