Факты
August 8

Раскрытие невидимого: Техники обнаружения LOTL и LOLbins

Детализированные журналы событий

📌 Внедрение комплексной системы регистрации событий: решающее значение имеет создание механизмов регистрации всех ИБ-событий на разных платформах и обеспечение агрегирования журналов в централизованном хранилище для предотвращения.

📌 Ведение журнала в облачной среде: для облачных сред важно регистрировать различные события ввиду их большего количества и настроить политики управления журналами событий для всех облачных служб, особенно редко используемых с целью обнаружения действий злоумышленников.

📌 Детализация событий безопасности: включение детализации событий, таких как командные строки, действия PowerShell и отслеживание событий WMI, обеспечивает более глубокое представление об использовании инструмента в среде, помогая обнаруживать вредоносные действия LOTL.

Установление поведенческих ориентиров

📌 Отслеживание отклонений в параметрах: отслеживание параметров установленных инструментов, программного обеспечения, поведения учётной записи и сетевого трафика позволяет защитникам выявлять отклонения, которые могут указывать на вредоносную активность.

📌 Мониторинг сети и поиск угроз: улучшение мониторинга сети, расширение хранилища журналов и углубление тактики поиска угроз жизненно важны для выявления длительного присутствия атакующих.

Автоматизация и эффективность

📌 Использование автоматизации: использование автоматизации для постоянного изучения журналов и сравнения текущих действий с установленными параметрами поведения повышает эффективность поиска, особенно с акцентом на привилегированные учётные записи и критически важные активы.

Снижения «шума» от системы оповещения

📌 Совершенствование инструментов мониторинга: важно совершенствовать инструменты мониторинга и механизмы оповещения, чтобы проводить различие между типичными административными действиями и поведением, связанным с угрозой, сосредоточив внимание на предупреждениях, которые с наибольшей вероятностью указывают на подозрительные действия.

Использование UEBA

📌 Аналитика поведения пользователей и организаций (UEBA ): использование UEBA для анализа и сопоставления действий в нескольких источниках данных помогает выявлять потенциальные инциденты безопасности, которые могут быть пропущены традиционными инструментами, и профилировать поведение пользователей для обнаружения внутренних угроз или скомпрометированных учётных записей.

Особенности облачных технологий

📌 Проектирование облачной среды: проектирование облачной среды для обеспечения надлежащего разделения основных и дополнительных журналов позволяет лучше отслеживать потенциальные действия LOTL.