пятница, 2 февраля 2024 г.

T1204 User Esecution это самый частый способ проникновения - запуск вредоносного кода самим пользователем

Посмотрел отчет JET CSIRT и решил перечитать как мировое сообщество предлагает защищаться от топовой техники в отчете: User Execution, когда сам пользователь запускает вредоносный код, под воздействием хакера. По сути это про социальную инженерию.


Самое простое для ответа - зайти в описание техники Е1204 на сайте 
И в общем в базе все логично пишут коллеги

Обычно предлагается для защиты использовать бесплатные методики в Windows SRP или Applocker и в общем методика белых списков - до сих пор рабочий инструмент. Автор блога и Петр Губаревич делали вебинар на тему практического использования SRP.

Обучение сотрудников не так эффективно, как мы выяснили в разговоре со специалистом по Security Awareness Ольгой Лимоновой на интервью с ней.

Контроль скачиваемого по сети софта и исходящих от клиентов внешних подключений - эффективный метод, который реализован внутри NGFW и IPS.

Сегодня для этого есть полный комплект:
- URL фильтрация - позволяет заблокировать подключения к фишинговым и вредоносным сайтам;
- SSL расшифрование позволяет увидеть файлы и атаки внутри протокола SSL и TLS,
- потоковый антивирус, позволяет проверить и заблокировать файлы прямо в сетевом трафике для всех устройств в сети;
- песочница, активно дополняет антивирус и выявляет новые, ранее неизвестные образцы вредоносного кода;
- база IoC, которую обычно называют умным словом Threat Intelligence (TI), позволяет выявить подключения к известным центрам управления бот-сетями, криптолокерами и спам серверами;
- ML для DGA DNS запросов, дополняет TI базу, поскольку позволяет выявлять активно перемещающиеся центры управления
- контроль приложений (DPI), позволяет увидеть неожиданные подключения, которые обычно не делают сервера и даже некоторые сотрудники.

О работе NGFW и сегментации для блокировки этой угрозы и реализации многоэшелонированной защиты, также есть короткий видеоролик https://www.youtube.com/watch?v=lj3_ZE5DRgM

Ну и конечно топовыми сегодня являются поведенческие техники, обычно они сегодня реализованы на базе EDR, XDR или в SIEM.

Заходите в телеграмм канал Топ Кибербезопасности, обсудим!