文書化された数百の MITRE ATT&CK テクニックのうち、コマンドおよびスクリプト インタプリタ (T1059) とフィッシング (T1566) の XNUMX つがこの分野を支配しています。
で 10月XNUMX日に発表されたレポート, D3 Security は、最近の 75,000 件を超えるサイバーセキュリティ インシデントを分析しました。その目的は、どの攻撃方法が最も一般的かを判断することでした。
結果は厳しい状況を浮き彫りにします。これら 2 つのテクニックは他のテクニックを桁違いに上回り、トップのテクニックは次点のテクニックを 3 倍も上回りました。
限られた注意力とリソースを割り当てたい防御者のために、最も一般的な ATT&CK テクニックのいくつかと、それらに対する防御方法をここに示します。
実行: コマンドおよびスクリプト インタプリタ (攻撃の 52.22% で使用)
それは何ですか: 攻撃者はスクリプトを書きます PowerShell などの人気のある言語 Python は主に 2 つの目的に使用されます。最も一般的には、データの収集やペイロードのダウンロードと抽出などの悪意のあるタスクを自動化するために使用されます。また、ウイルス対策ソリューションや拡張検出および応答 (XDR) などをバイパスして、検出を回避するのにも役立ちます。
これらのスクリプトがこのリストでダントツの第 1 位であることは、D3 の製品およびサービス担当副社長である Adrianna Chen にとって非常に驚くべきことです。 「コマンドおよびスクリプト インタープリター (T1059) は実行戦術に該当するため、MITRE ATT&CK キル チェーンの中間段階にあります」と彼女は言います。 「したがって、初期の戦術による他のテクニックは、EDR ツールによって検出されるまでにすでに検出されなくなっていると考えるのが妥当です。この XNUMX つの手法が私たちのデータセットで非常に目立っていたことを考えると、インシデントの原因を追跡するプロセスの重要性が強調されます。」
それを防ぐ方法: 悪意のあるスクリプトは多様かつ多面的であるため、これに対処するには、潜在的な悪意のある動作の検出と、権限およびスクリプト実行ポリシーの厳密な監視を組み合わせた、徹底的なインシデント対応計画が必要です。
初期アクセス: フィッシング (15.44%)
それは何ですか: フィッシングとそのサブカテゴリであるスピア フィッシング (T1566.001-004) は、攻撃者が標的のシステムやネットワークにアクセスする最も一般的な方法の XNUMX 番目と XNUMX 番目です。 XNUMX つ目は一般的なキャンペーンで、XNUMX つ目は特定の個人や組織を狙う場合に使用され、目的は、機密性の高いアカウントやデバイスへの足がかりとなる重要な情報を漏らすよう被害者に強要することです。
それを防ぐ方法: 最も賢く、最も教育を受けた人であっても、 私たちの中には、洗練されたソーシャル エンジニアリングの虜になる人もいます。頻繁な教育や意識向上キャンペーンは、従業員を自分自身や従業員が出入りする企業から守るためにある程度役立ちます。
初期アクセス: 有効なアカウント (3.47%)
それは何ですか: 多くの場合、フィッシングが成功すると、攻撃者が正規のアカウントにアクセスできるようになります。これらのアカウントは、ロックされていないドアの鍵を提供し、さまざまな悪行をカバーします。
それを防ぐ方法: 従業員が必然的にその悪意のある PDF または URL をクリックすると、 堅牢な多要素認証 (MFA) 少なくとも、攻撃者が飛び越えるためのより多くの輪として機能する可能性があります。異常検出ツールは、たとえば、見知らぬユーザーが遠く離れた IP アドレスから接続した場合や、単純に予期されていない操作を行った場合にも役立ちます。
認証情報へのアクセス: ブルートフォース (2.05%)
それは何ですか: 昔はもっと一般的だったブルート フォース攻撃は、弱い、再利用された、変更されていないパスワードが広く普及しているため、根強く残っています。ここで、攻撃者は、ユーザー名とパスワードの組み合わせによって自動的に実行されるスクリプトを使用します。 辞書攻撃 — 目的のアカウントにアクセスするため。
それを防ぐ方法: このリストにあるものは、ブルート フォース攻撃ほど簡単かつ完全に阻止できるものではありません。十分に強力なパスワードを使用すると、問題は自動的に解決されます。ログイン試行を繰り返した後にユーザーをロックアウトするなど、その他の小さなメカニズムも効果があります。
永続性: アカウント操作 (1.34%)
それは何ですか: 攻撃者がフィッシング、ブルート フォース、またはその他の手段を使用して特権アカウントにアクセスすると、そのアカウントを利用して標的のシステム内での地位を強固にすることができます。たとえば、アカウントの資格情報を変更して元の所有者をロックアウトしたり、場合によっては、既に持っているリソースよりもさらに多くの特権リソースにアクセスするために権限を調整したりすることができます。
それを防ぐ方法: アカウント侵害による被害を軽減するために、D3 は組織が機密リソースへのアクセスに対して厳格な制限を導入し、次の規則に従うことを推奨しています。 最小特権アクセスの原則: ユーザーが自分の仕事を実行するために必要な最小限のアクセス権のみを付与します。
それに加えて、この技術や他の MITRE 技術に適用できる次のような推奨事項が多数提供されています。
-
ログを継続的に監視することで警戒を維持し、不審なアカウントのアクティビティを検出して対応します。
-
ネットワークがすでに侵害されているという想定に基づいて運用し、潜在的な損害を軽減するための事前対応策を採用する
-
確認されたセキュリティ侵害の検出時に対策を自動化することで対応作業を合理化し、迅速かつ効果的な軽減を確保します。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against
