Раскрытие невидимого: Техники обнаружения LOTL и LOLbins
Детализированные журналы событий
📌 Внедрение комплексной системы регистрации событий: решающее значение имеет создание механизмов регистрации всех ИБ-событий на разных платформах и обеспечение агрегирования журналов в централизованном хранилище для предотвращения.
📌 Ведение журнала в облачной среде: для облачных сред важно регистрировать различные события ввиду их большего количества и настроить политики управления журналами событий для всех облачных служб, особенно редко используемых с целью обнаружения действий злоумышленников.
📌 Детализация событий безопасности: включение детализации событий, таких как командные строки, действия PowerShell и отслеживание событий WMI, обеспечивает более глубокое представление об использовании инструмента в среде, помогая обнаруживать вредоносные действия LOTL.
Установление поведенческих ориентиров
📌 Отслеживание отклонений в параметрах: отслеживание параметров установленных инструментов, программного обеспечения, поведения учётной записи и сетевого трафика позволяет защитникам выявлять отклонения, которые могут указывать на вредоносную активность.
📌 Мониторинг сети и поиск угроз: улучшение мониторинга сети, расширение хранилища журналов и углубление тактики поиска угроз жизненно важны для выявления длительного присутствия атакующих.
📌 Использование автоматизации: использование автоматизации для постоянного изучения журналов и сравнения текущих действий с установленными параметрами поведения повышает эффективность поиска, особенно с акцентом на привилегированные учётные записи и критически важные активы.
Снижения «шума» от системы оповещения
📌 Совершенствование инструментов мониторинга: важно совершенствовать инструменты мониторинга и механизмы оповещения, чтобы проводить различие между типичными административными действиями и поведением, связанным с угрозой, сосредоточив внимание на предупреждениях, которые с наибольшей вероятностью указывают на подозрительные действия.
📌 Аналитика поведения пользователей и организаций (UEBA ): использование UEBA для анализа и сопоставления действий в нескольких источниках данных помогает выявлять потенциальные инциденты безопасности, которые могут быть пропущены традиционными инструментами, и профилировать поведение пользователей для обнаружения внутренних угроз или скомпрометированных учётных записей.
Особенности облачных технологий
📌 Проектирование облачной среды: проектирование облачной среды для обеспечения надлежащего разделения основных и дополнительных журналов позволяет лучше отслеживать потенциальные действия LOTL.