Перед тем, как совершить кибератаку на корпоративную сеть преступники, естественно, ее компрометируют и изучают.
И уже на этом этапе, как показали разработчики системы MaxPatrol SIEM, злоумышленников можно выявлять и пресекать их поползновения.
Для этого в MaxPatrol SIEM загружен пакет экспертизы с правилами обнаружения атак, проводимых с использованием тактики «Разведка» (Discovery) по модели MITRE ATT&CK.
В 2013 году корпорация MITRE анонсировала базу знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge — Тактики, техники и общеизвестные знания о злоумышленниках) как способ описания и категоризации поведения злоумышленников, основанный на анализе реальных атак. ATT&CK представляет собой структурированный список известных поведений злоумышленников, скомпилированый в тактики и методы, и выраженный в виде таблиц, а также доступный в формате STIX / TAXII. Поскольку этот список представляет собой довольно полное представление о поведении злоумышленников при компрометации сетей, он полезен для различных наступательных и защитных измерений, представлений и других механизмов.
Не в пользу злоумышленников то, что они зачастую используют для «ориентирования на местности» встроенные инструменты операционных систем.
Новый пакет экспертизы включает в себя правила детектирования 15 популярных техник разведки. Активность злоумышленников можно обнаружить еще во время попыток хакеров получить список учетных записей домена, сведения о парольной политике, перечень установленных приложений и служб, информацию о состоянии средств защиты.
Следует отметить, что без специальных средств отличить активность атакующих, которые проводят разведку, от легитимных запросов обычных пользователей непросто, так как если хакеры используют существующие реальные учетные записи и встроенные утилиты, то их активность, как правило, теряется в потоке событий.
Пакет экспертизы, посвященный тактике «Разведка» (Discovery), — это пятый пакет с правилами обнаружения атак по модели MITRE ATT&CK; всего в матрице ATT&CK описано 12 тактик. Пакеты, ранее загруженные в MaxPatrol SIEM, продолжают пополняться правилами по мере появления новых способов обнаружения атак. Одновременно с выходом пятого пакета экспертизы первый пакет из серии получил 14 правил корреляции для выявления техник выполнения кода и обхода защиты.
Читайте также на АКБ:
Пять лет назад хакеры выпотрошили Sony. Кто это сделал?
