Dari ratusan teknik MITRE ATT&CK yang terdokumentasi, dua mendominasi bidang ini: penerjemah perintah dan skrip (T1059) dan phishing (T1566).
Di sebuah laporan diterbitkan pada 10 April, D3 Security menganalisis lebih dari 75,000 insiden keamanan siber baru-baru ini. Tujuannya adalah untuk menentukan metode serangan mana yang paling umum.
Hasilnya memberikan gambaran yang jelas: kedua teknik tersebut mengungguli teknik lainnya dengan urutan besarnya, dengan teknik teratas mengungguli runner-up dengan faktor tiga.
Bagi pembela HAM yang ingin mengalokasikan perhatian dan sumber daya yang terbatas, berikut adalah beberapa teknik ATT&CK yang paling umum, dan cara bertahan melawan teknik tersebut.
Eksekusi: Command and Scripting Interpreter (Digunakan dalam 52.22% Serangan)
Apa itu: Penyerang menulis skrip bahasa populer seperti PowerShell dan Python untuk dua tujuan utama. Paling umum, mereka digunakan untuk mengotomatiskan tugas-tugas jahat seperti mengambil data atau mengunduh dan mengekstrak muatan. Mereka juga berguna untuk menghindari deteksi โ melewati solusi antivirus, deteksi dan respons yang diperluas (XDR), dan sejenisnya.
Bahwa skrip-skrip ini berada di urutan No. 1 dalam daftar ini sangat mengejutkan Adrianna Chen, wakil presiden produk dan layanan D3. โKarena Command and Scripting Interpreter (T1059) termasuk dalam taktik Eksekusi, maka taktik ini berada di tahap tengah rantai pembunuhan MITRE ATT&CK,โ katanya. โJadi, wajar untuk berasumsi bahwa teknik lain dari taktik sebelumnya sudah tidak terdeteksi saat terdeteksi oleh alat EDR. Mengingat bahwa teknik yang satu ini sangat menonjol dalam kumpulan data kami, hal ini menggarisbawahi pentingnya memiliki proses untuk menelusuri kembali ke asal mula suatu insiden.โ
Cara bertahan melawannya: Karena skrip berbahaya itu beragam dan memiliki banyak aspek, penanganannya memerlukan rencana respons insiden menyeluruh yang menggabungkan deteksi perilaku yang berpotensi berbahaya dengan pengawasan ketat terhadap hak istimewa dan kebijakan eksekusi skrip.
Akses Awal: Phishing (15.44%)
Apa itu: Phishing dan subkategorinya, spear-phishing (T1566.001-004), adalah cara paling umum pertama dan ketiga yang dilakukan penyerang untuk mendapatkan akses ke sistem dan jaringan yang ditargetkan. Menggunakan kampanye pertama secara umum dan kampanye kedua ketika menargetkan individu atau organisasi tertentu, tujuannya adalah untuk memaksa korban agar membocorkan informasi penting yang akan memungkinkan akses ke akun dan perangkat sensitif.
Cara bertahan melawannya: Bahkan yang paling cerdas dan terpelajar sekalipun di antara kita terjerumus ke dalam rekayasa sosial yang canggih. Kampanye pendidikan dan kesadaran yang sering dilakukan dapat membantu melindungi karyawan dari diri mereka sendiri dan perusahaan yang mereka beri kesempatan untuk masuk.
Akses Awal: Akun Valid (3.47%)
Apa itu: Seringkali, phishing yang berhasil memungkinkan penyerang mengakses akun yang sah. Akun-akun ini memberikan kunci pintu yang terkunci, dan menutupi berbagai kelakuan buruk mereka.
Cara bertahan melawannya: Ketika karyawan mau tidak mau mengklik PDF atau URL berbahaya tersebut, otentikasi multifaktor (MFA) yang kuat dapat, jika tidak ada yang lain, bertindak sebagai lebih banyak rintangan bagi penyerang untuk melompatinya. Alat deteksi anomali juga dapat membantu jika, misalnya, pengguna asing terhubung dari alamat IP yang jauh, atau sekadar melakukan sesuatu yang tidak diharapkan.
Akses Kredensial: Brute Force (2.05%)
Apa itu: Opsi yang lebih populer di masa lalu, serangan brute force masih terus terjadi karena banyaknya kata sandi yang lemah, digunakan kembali, dan tidak diubah. Di sini, penyerang menggunakan skrip yang secara otomatis dijalankan melalui kombinasi nama pengguna dan kata sandi โ seperti di serangan kamus โ untuk mendapatkan akses ke akun yang diinginkan.
Cara bertahan melawannya: Tidak ada item dalam daftar ini yang dapat dicegah dengan mudah dan sepenuhnya seperti serangan brute force. Menggunakan kata sandi yang cukup kuat akan menyelesaikan masalah dengan sendirinya, titik. Mekanisme kecil lainnya, seperti mengunci pengguna setelah upaya login berulang kali, juga berhasil.
Persistensi: Manipulasi Akun (1.34%)
Apa itu: Setelah penyerang menggunakan phishing, brute force, atau cara lain untuk mengakses akun yang memiliki hak istimewa, mereka kemudian dapat memanfaatkan akun tersebut untuk memperkuat posisinya dalam sistem yang ditargetkan. Misalnya, mereka dapat mengubah kredensial akun untuk mengunci pemilik aslinya, atau mungkin menyesuaikan izin untuk mengakses lebih banyak sumber daya istimewa daripada yang sudah mereka miliki.
Cara bertahan melawannya: Untuk memitigasi kerusakan akibat penyusupan akun, D3 merekomendasikan organisasi untuk menerapkan pembatasan ketat dalam mengakses sumber daya sensitif, dan mengikuti pedoman ini prinsip akses dengan hak paling tidak istimewa: memberikan tidak lebih dari tingkat akses minimum yang diperlukan bagi setiap pengguna untuk melakukan pekerjaannya.
Selain itu, ia menawarkan sejumlah rekomendasi yang dapat diterapkan pada teknik ini dan teknik MITER lainnya, termasuk:
-
Menjaga kewaspadaan melalui pemantauan log secara terus menerus untuk mendeteksi dan merespons aktivitas akun yang mencurigakan
-
Beroperasi dengan asumsi bahwa jaringan telah disusupi dan mengadopsi langkah-langkah proaktif untuk mengurangi potensi kerusakan
-
Menyederhanakan upaya respons dengan mengotomatiskan tindakan penanggulangan setelah mendeteksi pelanggaran keamanan yang terkonfirmasi, memastikan mitigasi yang cepat dan efektif
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
