Какими техниками чаще всего пользуются злоумышленники

Сервис Kaspersky Managed Detection and Response (MDR) позволяет компаниям усилить собственную команду безопасности за счет круглосуточного контроля корпоративной инфраструктуры. Согласно недавно опубликованному отчету за 2021 год, сервис обработал около 414 тысяч событий безопасности. Проанализировав выявленные инциденты, аналитики нашего центра мониторинга (SOC) определили наиболее часто встречающиеся техники злоумышленников. Посчитав отношение инцидентов, в которых использовалась та или иная техника по классификации MITRE ATT&CK к общему количеству инцидентов, они выявили три самых «популярных» из них.

Взаимодействие пользователя

User Execution. В эту категорию техник попадают все инциденты, в которых атакующий полагается на действия пользователя, находящегося внутри инфраструктуры. То есть это все случаи, когда атакующие заставляют сотрудника нажать на вредоносную ссылку или же открыть почтовое вложение. Сюда же относятся и инциденты, в которых обманутый пользователь дает злоумышленнику удаленный доступ к корпоративным ресурсам.

Целевой фишинг с вредоносным вложением

По классификации MITRE ATT&CK тактика Spearphishing Attachment заключается в рассылке электронных писем с вредоносным вложением. Как правило, для успешного проведения атаки злоумышленники полагаются на все ту же социальную инженерию и взаимодействие пользователя. В качестве вложения могут быть использованы как исполняемые файлы, так и документы MS Office, PDF или архивы.

Эксплуатация служб удаленного доступа

В категорию Exploitation of Remote Services попадают инциденты, в которых злоумышленники пользуются уязвимыми или своевременно не обновленными службами для доступа к внутренним системам внутри корпоративной сети. Как правило, это делается для горизонтального распространения внутри инфраструктуры. Часто целями атакующих являются серверы, но иногда они пользуются и уязвимостями на рабочих станциях.

Как защитить инфраструктуру от наиболее часто применяющихся техник злоумышленников

На сайте MITRE ATT&CK перечислены наиболее эффективные методы, чаще всего применяемые для минимизации рисков атаки.

• Для того чтобы не допустить невольного участия сотрудника в схемах злоумышленников, рекомендуется использовать защитные решения с функцией контроля приложений, блокирования сетевых атак, проверки репутации сайтов и сканирования скачиваемых файлов. К тому же будет небесполезно периодически повышать осведомленность сотрудников о современных тактиках и техниках злоумышленников.
• Те же защитные механизмы актуальны и против вредоносных вложений в целевых письмах, а для дополнительного уровня защиты рекомендуется также использовать технологии SPF, DKIM и DMARC.
• Против эксплуатации удаленных служб хорошо работают технологии сендбоксинга и изоляции приложений. Но для начала следует удалить или отключить все неиспользуемые службы, сегментировать сети и системы, а также минимизировать уровень доступа и разрешения сервисных учетных записей. Также необходимо своевременно устанавливать обновления безопасности критических систем и использовать защитные решения, способные выявлять попытки эксплуатации по поведению. Дополнительно не повредит периодическое сканирование сети на наличие потенциально уязвимых служб и использование актуальных данных Threat Intelligence.

Ну а в целом, для защиты корпоративной инфраструктуры от сложных атак, можно прибегнуть к помощи сторонних экспертов, которые будут мониторить события безопасности в вашей сети, расследовать события безопасности, оповещать о вредоносной активности и предоставлять инструментальное реагирование и рекомендации.