Positive Technologies представила список превентивных мер для десяти популярных техник атак
Изображение: Positive Technologies
Positive Technologies опубликовала исследование об обнаружении и предотвращении атак, в которых используются наиболее популярные техники MITRE ATT&CK. Эксперты компании успешно применяли представленные методы в ходе пентестов, проведенных в российских организациях в 2022 году. Список предложенных превентивных мер покрывает 29% требований о защите информации, изложенных в приказе ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
В рамках исследования определены десять наиболее популярных и успешно применяемых пентестерами Positive Technologies методов атак.
| Тактика | Техника |
| Первоначальный доступ (Initial Access) | Недостатки в общедоступном приложении (Exploit Public-Facing Application) |
| Выполнение (Execution) | Использование интерпретаторов командной строки и сценариев (Command and Scripting Interpreter) |
| Закрепление в инфраструктуре (Persistence) | Манипуляции с учетной записью (Account Manipulation) |
| Получение учетных данных (Credential Access) | Метод перебора (Brute Force); Получение дампа учетных данных (OS Credential Dumping); Незащищенные учетные данные (Unsecured Credentials). |
| Изучение (Discovery) | Изучение учетных записей (Account Discovery); Изучение файлов и каталогов (File and Directory Discovery). |
| Перемещение внутри сетевого периметра (Lateral Movement) | Использование альтернативных данных для аутентификации (Use Alternate Authentication Material) |
| Организация управления (Command and Control) | Использование протокола прикладного уровня (Application Layer Protocol) |
Эксперты подобрали способы обнаружения этих техник и предложили перечень превентивных мер для предотвращения атак. Основными источниками событий, анализ которых поможет выявить применение злоумышленником того или иного метода, эксперты назвали:
- журнал событий ОС, в том числе связанных с аудитом безопасности и входом в систему;
- сетевой трафик;
- журнал событий приложений;
- журнал событий на контроллере домена.
«Для примера рассмотрим технику, связанную с небезопасным хранением учетных данных (Unsecured Credentials). Она была использована при атаках в 79% исследованных организаций, — комментирует Антон Кутепов, руководитель направления развития сообществ ИБ Positive Technologies. — Чтобы свести к минимуму шансы злоумышленника на успех, рекомендуем регулярно проводить поиск файлов, содержащих пароли, и обучать пользователей грамотному хранению конфиденциальной информации. Кроме того, необходимо разграничить доступ к общим ресурсам, так чтобы определенными папками могли воспользоваться только некоторые сотрудники. Помимо прочего, следует установить корпоративное правило, запрещающее хранить пароли в файлах».
Для того чтобы не допускать и своевременно выявлять атаки, необходимо внедрить систему мониторинга событий информационной безопасности (SIEM-систему), фильтровать сетевые пакеты с помощью межсетевых экранов разных уровней (WAF, NGFW), анализировать сетевой трафик с помощью продуктов класса NTA. Кроме того, стоит приобрести инструменты для обнаружения угроз на конечных узлах и реагирования на них (EDR-, XDR-решения).
«Основываясь на матрице D3FEND, мы определили функции средств защиты, необходимые для предупреждения, обнаружения атак, в которых используются десять техник из матрицы MITRE ATT&CK, и для реагирования. Десятка техник выбрана не случайно: именно они в сочетании с другими методами помогали нашим специалистам достигать целей при тестировании на проникновение, — комментирует аналитик департамента информационной безопасности Positive Technologies Яна Юракова. — Кроме того, мы сопоставили требования регулятора с превентивными мерами, предложенными сообществом специалистов по ИБ, и оказалось, что они покрывают 33 из 113 требований приказа ФСТЭК России № 17. Можно сделать вывод, что если выполнять предписания регулятора не формально, соответствовать им не только на бумаге, то уровень защищенности компании заметно вырастет».
С полным списком техник, описанием методов обнаружения и предотвращения атак можно ознакомиться в исследовании на сайте компании.
Источник: cisoclub.ru