Positive Technologies опубликовала исследование об обнаружении и предотвращении атак, в которых используются наиболее популярные техники MITRE ATT&CK®1. Эксперты компании успешно применяли представленные методы в ходе пентестов, проведенных в российских организациях в 2022 году. Список предложенных превентивных мер покрывает 29% требований о защите информации, изложенных в приказе ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
В рамках исследования определены десять наиболее популярных и успешно применяемых пентестерами Positive Technologies методов атак.
| Тактика | Техника | |
|---|---|---|
|
Первоначальный доступ (Initial Access) |
Недостатки в общедоступном приложении (Exploit Public-Facing Application) |
|
|
Выполнение (Execution) |
Использование интерпретаторов командной строки и сценариев (Command and Scripting Interpreter) |
|
|
Закрепление в инфраструктуре (Persistence) |
Манипуляции с учетной записью (Account Manipulation) |
|
|
Получение учетных данных (Credential Access) |
Метод перебора (Brute Force) |
|
|
Получение дампа учетных данных (OS Credential Dumping) |
||
| Незащищенные учетные данные (Unsecured Credentials) | ||
|
Изучение (Discovery) |
Изучение учетных записей (Account Discovery) |
|
|
Изучение файлов и каталогов (File and Directory Discovery) |
||
|
Перемещение внутри сетевого периметра (Lateral Movement) |
Использование альтернативных данных для аутентификации (Use Alternate Authentication Material) |
|
|
Организация управления (Command and Control) |
Использование протокола прикладного уровня (Application Layer Protocol) |
|
Эксперты подобрали способы обнаружения этих техник и предложили перечень превентивных мер для предотвращения атак. Основными источниками событий, анализ которых поможет выявить применение злоумышленником того или иного метода, эксперты назвали:
- журнал событий ОС, в том числе связанных с аудитом безопасности и входом в систему;
- сетевой трафик;
- журнал событий приложений;
- журнал событий на контроллере домена.
«Для примера рассмотрим технику, связанную с небезопасным хранением учетных данных (Unsecured Credentials). Она была использована при атаках в 79% исследованных организаций, — комментирует Антон Кутепов, руководитель направления развития сообществ ИБ Positive Technologies. — Чтобы свести к минимуму шансы злоумышленника на успех, рекомендуем регулярно проводить поиск файлов, содержащих пароли, и обучать пользователей грамотному хранению конфиденциальной информации. Кроме того, необходимо разграничить доступ к общим ресурсам, так чтобы определенными папками могли воспользоваться только некоторые сотрудники. Помимо прочего, следует установить корпоративное правило, запрещающее хранить пароли в файлах».
Для того чтобы не допускать и своевременно выявлять атаки, необходимо внедрить систему мониторинга событий информационной безопасности (SIEM-систему), фильтровать сетевые пакеты с помощью межсетевых экранов разных уровней (WAF, NGFW), анализировать сетевой трафик с помощью продуктов класса NTA. Кроме того, стоит приобрести инструменты для обнаружения угроз на конечных узлах и реагирования на них (EDR-, XDR-решения).
«Основываясь на матрице D3FEND2, мы определили функции средств защиты, необходимые для предупреждения, обнаружения атак, в которых используются десять техник из матрицы MITRE ATT&CK, и для реагирования3. Десятка техник выбрана не случайно: именно они в сочетании с другими методами помогали нашим специалистам достигать целей при тестировании на проникновение, — комментирует аналитик департамента информационной безопасности Positive Technologies Яна Юракова. — Кроме того, мы сопоставили требования регулятора с превентивными мерами, предложенными сообществом специалистов по ИБ, и оказалось, что они покрывают 33 из 113 требований приказа ФСТЭК России № 17. Можно сделать вывод, что если выполнять предписания регулятора не формально, соответствовать им не только на бумаге, то уровень защищенности компании заметно вырастет».
С полным списком техник, описанием методов обнаружения и предотвращения атак можно ознакомиться в исследовании на сайте компании.
- База знаний, разработанная и поддерживаемая корпорацией MITRE на основе анализа реальных APT-атак. Представляет собой наглядную таблицу тактик, для каждой из которых указан список возможных техник. Позволяет структурировать знания об APT-атаках и категоризировать действия злоумышленников.
- База знаний о методах противодействия кибератакам.
- Представленный набор мер мы определили как минимальный. Современные СЗИ обладают гораздо большим числом функций, которые помогут быстрее обнаружить несанкционированное воздействие и отреагировать на него.