Тренды атак на Endpoint от Cisco

Свой анализ атак за I полугодие 2020 года представила компания Cisco. Первая часть из серии аналитических материалов посвящена конечным АРМ. Эксперты Cisco выделяют в лидеры по частоте выявления и создания IoC среди вредоносных программ критического уровня следующие опасности:

  •  бесфайловые вирусы, включая Kovter, Poweliks, Divergent и LemonDuck;

  •  PowerShell утилиты, включая PowerShell Empire, CobaltStrike, Powersploit и Metasploit;

  • Инфостилеры (Mimikatz и др.), вымогательское ПО (Ryuk, Maze, BitPaymer и др.), черви (Ramnit, Qakbot и др.), RAT трояны (Corebot, Glupteba и др.), банковские трояны (Cridex, Dyre, Astaroth, Azorult), загрузчики, вайперы и другое вредоносное ПО.

рис.1 - critical IoCs.jpg

Рис. 1 – типы вредоносного ПО критического уровня опасности и процент встречаемости

Если сгруппировать эти данные по карте тактик MITRE ATT&CK, то можно получить следующую картину: Рис. 2. Она учитывает, что некоторое вредоносное ПО может использоваться в нескольких тактиках, например PowerShell попадает в три раздела:

  • Defense Evasion: так как может скрывать активность от детектирования.

  • Execution: так как может запускать дополнительные модули с вредоносными действиями.

  • Credential Access: так как может загружать модули кражи учетных записей.

Рис.2-MA.jpg

Рис. 2 – Критические IoC с группировкой по карте тактик MITRE ATT&CK

Таким образом, можно обратить внимание, что техники по закреплению, распространению и сокрытию присутствия злоумышленника в инфраструктуре имеют наиболее высокую популярность. А из вредоносных действий выделяются по частоте запуск на исполнение и кража учетных данных.

Рекомендации по защите

В таких условиях большое значение приобретают механизмы аналитического и поведенческого анализа активности внутри инфраструктуры. Следующие классы средств защиты могут обеспечить ее на разных уровнях:

  • Network Behavior Analysis & Anomaly Detection для отслеживания аномальной сетевой активности и горизонтального распространения вредоносного ПО. Группа компаний Angara рекомендует следующие средства этого класса:

o Flowmon Anomaly Detection System

o Cisco Lancope StealthWatch.

  • Endpoint Detection and Response на конечных ПК для отслеживания аномальной активности приложений, например нелегитимных попыток изменения реестра, использования или изменения системных файлов. Группа компаний Angara рекомендует следующие решения данного класса:

o Kaspersky EDR

o Palo Alto XDR,

o Cisco AMP,

o Trend Micro XDR.

  • Системы Business Intelligence как средство для анализа работы пользователей с ресурсами компании, в том числе нелегитимных объемных выгрузок информации. Группа компаний Angara рекомендует следующие решения:

o BI Qlik Sense.

Эксперты группы компаний Angara имеют обширный опыт работы со всеми указанными системами и готовы помочь в решении любых ваших задач. По всем вопросам можно обратиться к менеджерам по e-mail info@angaratech.ru или телефону 8-495-269-26-06.


Другие публикации

Мошенники начали активно взламывать и массово скупать аккаунты пользователей в маркетплейсах

В российском сегменте интернета в последние несколько месяцев фиксируется существенное увеличение интереса злоумышленников и киберпреступников к учётным записям российских пользователей на различных маркетплейсах

актуально

22.01.2025

Создание систем безопасности: можно ли говорить о готовности КИИ к современным угрозам ИБ?

С 1 января 2025 г. организациям, являющимся субъектами критической информационной инфраструктуры (КИИ) РФ, запрещается использовать средства защиты информации и сервисы по обеспечению информационной безопасности, странами происхождения которых выступают недружественные России иностранные государства либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств.

актуально

20.01.2025

Инструменты и технологии проактивной безопасности в e-Commerce

Цифровая трансформация является неотъемлемой частью любого бизнеса в современном мире, и она требует внедрения технологий проактивной безопасности для защиты данных и предотвращения кибератак. Об использовании передовых инструментов и средств защиты данных рассказывает Денис Бандалетов, руководитель отдела сетевых технологий Angara Security.

04.11.2024

Как сохранить свои данные в безопасности?

Отвечает директор по управлению сервисами Angara Security Павел Покровский.

01.11.2024

Рынок услуг управления уязвимостями в России: контроль поверхности атак

Управление уязвимостями (Vulnerability Management, VM) играет ключевую роль в обеспечении информационной безопасности современных организаций.

30.10.2024

Остались вопросы?

Понравилась статья?

Подпишитесь на уведомления о новых материалах