จากเทคนิค MITER ATT&CK ที่ได้รับการบันทึกไว้หลายร้อยเทคนิค มีสองเทคนิคที่โดดเด่น: ตัวแปลคำสั่งและสคริปต์ (T1059) และฟิชชิ่ง (T1566)
ใน รายงานเผยแพร่เมื่อวันที่ 10 เมษายน, D3 Security วิเคราะห์เหตุการณ์ความปลอดภัยทางไซเบอร์ล่าสุดมากกว่า 75,000 เหตุการณ์ เป้าหมายคือเพื่อกำหนดวิธีการโจมตีที่พบบ่อยที่สุด
ผลลัพธ์ทำให้เกิดภาพที่ชัดเจน: ทั้งสองเทคนิคแซงหน้าเทคนิคอื่นๆ ทั้งหมดตามลำดับ โดยเทคนิคระดับบนสุดแซงหน้ารองชนะเลิศถึงสามเท่า
สำหรับกองหลังที่ต้องการจัดสรรความสนใจและทรัพยากรที่จำกัด นี่เป็นเพียงเทคนิค ATT&CK ที่พบบ่อยที่สุดบางส่วน และวิธีป้องกันพวกเขา
การดำเนินการ: ล่ามคำสั่งและสคริปต์ (ใช้ในการโจมตี 52.22%)
มันคืออะไร: ผู้โจมตีเขียนสคริปต์เข้ามา ภาษายอดนิยมเช่น PowerShell และ Python เพื่อวัตถุประสงค์หลักสองประการ โดยทั่วไปแล้ว พวกมันถูกใช้เพื่อทำให้งานที่เป็นอันตรายเป็นอัตโนมัติ เช่น การเก็บเกี่ยวข้อมูลหรือการดาวน์โหลดและแตกข้อมูลเพย์โหลด พวกมันยังมีประโยชน์สำหรับการหลบเลี่ยงการตรวจจับ — การเลี่ยงโซลูชั่นแอนตี้ไวรัส การตรวจจับและการตอบสนองแบบขยาย (XDR) และอื่นๆ ที่คล้ายกัน
การที่สคริปต์เหล่านี้อยู่ห่างไกลจากอันดับ 1 ในรายการนี้เป็นเรื่องที่น่าประหลาดใจเป็นพิเศษสำหรับ Adrianna Chen รองประธานฝ่ายผลิตภัณฑ์และบริการของ D3 “เนื่องจาก Command and Scripting Interpreter (T1059) ตกอยู่ภายใต้กลยุทธ์การดำเนินการ จึงอยู่ในขั้นตอนกลางของห่วงโซ่การทำลายล้างของ MITER ATT&CK” เธอกล่าว “ดังนั้นจึงยุติธรรมที่จะสรุปได้ว่าเทคนิคอื่นๆ จากกลยุทธ์ก่อนหน้านี้ไม่ได้ถูกตรวจพบเมื่อถึงเวลาที่เครื่องมือ EDR ตรวจพบ เนื่องจากเทคนิคนี้โดดเด่นมากในชุดข้อมูลของเรา จึงเน้นย้ำถึงความสำคัญของการมีกระบวนการในการติดตามกลับไปยังต้นกำเนิดของเหตุการณ์”
วิธีป้องกัน: เนื่องจากสคริปต์ที่เป็นอันตรายมีความหลากหลายและหลากหลาย การจัดการกับสคริปต์เหล่านี้จึงจำเป็นต้องมีแผนการตอบสนองต่อเหตุการณ์อย่างละเอียด ซึ่งรวมการตรวจจับพฤติกรรมที่อาจเป็นอันตรายเข้ากับการเฝ้าระวังสิทธิพิเศษและนโยบายการดำเนินการสคริปต์อย่างเข้มงวด
การเข้าถึงครั้งแรก: ฟิชชิ่ง (15.44%)
มันคืออะไร: ฟิชชิ่งและหมวดหมู่ย่อย Spear-phishing (T1566.001-004) เป็นวิธีแรกและวิธีที่สามที่พบบ่อยที่สุดที่ผู้โจมตีเข้าถึงระบบและเครือข่ายเป้าหมาย การใช้แคมเปญทั่วไปครั้งแรกและแคมเปญที่สองเมื่อมุ่งเป้าไปที่บุคคลหรือองค์กรที่เฉพาะเจาะจง เป้าหมายคือการบังคับเหยื่อให้เปิดเผยข้อมูลสำคัญที่จะช่วยให้สามารถตั้งหลักในบัญชีและอุปกรณ์ที่ละเอียดอ่อนได้
วิธีป้องกัน: แม้แต่คนที่ฉลาดที่สุดและมีการศึกษามากที่สุด ในหมู่พวกเราตกหลุมรักวิศวกรรมสังคมที่ซับซ้อน การให้ความรู้และการรณรงค์สร้างความตระหนักรู้เป็นประจำสามารถช่วยปกป้องพนักงานจากตนเองและบริษัทที่พวกเขาเข้ามามีส่วนร่วมได้
การเข้าถึงครั้งแรก: บัญชีที่ถูกต้อง (3.47%)
มันคืออะไร: บ่อยครั้งที่ฟิชชิ่งที่ประสบความสำเร็จทำให้ผู้โจมตีสามารถเข้าถึงบัญชีที่ถูกต้องได้ บัญชีเหล่านี้มอบกุญแจสำหรับประตูที่ถูกล็อค และครอบคลุมการกระทำผิดต่างๆ
วิธีป้องกัน: เมื่อพนักงานคลิกที่ PDF หรือ URL ที่เป็นอันตรายอย่างหลีกเลี่ยงไม่ได้ การรับรองความถูกต้องด้วยหลายปัจจัยที่แข็งแกร่ง (MFA) หากไม่มีอะไรสามารถทำหน้าที่เป็นห่วงให้ผู้โจมตีกระโดดข้ามไปได้ เครื่องมือตรวจจับความผิดปกติยังช่วยได้ ตัวอย่างเช่น ผู้ใช้แปลกหน้าเชื่อมต่อจากที่อยู่ IP ที่อยู่ห่างไกล หรือเพียงทำสิ่งที่พวกเขาไม่คาดหวังให้ทำ
การเข้าถึงข้อมูลประจำตัว: Brute Force (2.05%)
มันคืออะไร: ตัวเลือกที่ได้รับความนิยมมากขึ้นในสมัยก่อน การโจมตีแบบ bruteforce ยังคงติดอยู่ เนื่องจากรหัสผ่านที่ไม่รัดกุม มีการใช้ซ้ำ และไม่มีการเปลี่ยนแปลงแพร่หลาย ที่นี่ ผู้โจมตีใช้สคริปต์ที่ทำงานโดยอัตโนมัติผ่านชื่อผู้ใช้และรหัสผ่าน — เช่น ใน การโจมตีด้วยพจนานุกรม — เพื่อเข้าถึงบัญชีที่ต้องการ
วิธีป้องกัน: ไม่มีรายการใดในรายการนี้ที่สามารถป้องกันได้ง่ายและสมบูรณ์เท่ากับการโจมตีแบบเดรัจฉาน การใช้รหัสผ่านที่รัดกุมเพียงพอช่วยแก้ไขปัญหาได้ด้วยตัวเองและครบวงจร กลไกเล็กๆ น้อยๆ อื่นๆ เช่น การล็อกผู้ใช้หลังจากพยายามเข้าสู่ระบบซ้ำๆ ก็สามารถแก้ปัญหาได้เช่นกัน
ความคงอยู่: การจัดการบัญชี (1.34%)
มันคืออะไร: เมื่อผู้โจมตีใช้ฟิชชิ่ง การใช้กำลังดุร้าย หรือวิธีการอื่นในการเข้าถึงบัญชีที่ได้รับสิทธิพิเศษ พวกเขาสามารถใช้ประโยชน์จากบัญชีนั้นเพื่อยึดตำแหน่งของตนในระบบที่เป็นเป้าหมายได้ ตัวอย่างเช่น พวกเขาสามารถเปลี่ยนข้อมูลประจำตัวของบัญชีเพื่อล็อคเจ้าของเดิม หรืออาจปรับการอนุญาตเพื่อเข้าถึงทรัพยากรที่มีสิทธิพิเศษมากกว่าที่พวกเขามีอยู่แล้ว
วิธีป้องกัน: เพื่อบรรเทาความเสียหายจากการถูกบุกรุกบัญชี D3 แนะนำให้องค์กรใช้ข้อจำกัดที่เข้มงวดในการเข้าถึงทรัพยากรที่มีความละเอียดอ่อน และปฏิบัติตาม หลักการเข้าถึงสิทธิพิเศษน้อยที่สุด: ให้สิทธิ์การเข้าถึงไม่เกินระดับขั้นต่ำที่จำเป็นสำหรับผู้ใช้ในการปฏิบัติงานของตน
นอกจากนั้น ยังมีข้อแนะนำหลายประการที่สามารถนำไปใช้กับเทคนิคนี้และเทคนิค MITER อื่นๆ ได้ รวมไปถึง:
-
ดูแลรักษาความระมัดระวังผ่านการตรวจสอบบันทึกอย่างต่อเนื่องเพื่อตรวจจับและตอบสนองต่อกิจกรรมบัญชีที่น่าสงสัย
-
การดำเนินงานภายใต้สมมติฐานว่าโครงข่ายถูกบุกรุกและใช้มาตรการเชิงรุกเพื่อบรรเทาความเสียหายที่อาจเกิดขึ้น
-
เพิ่มความคล่องตัวในการตอบสนองด้วยมาตรการตอบโต้อัตโนมัติเมื่อตรวจพบการละเมิดความปลอดภัยที่ได้รับการยืนยัน ทำให้มั่นใจได้ว่าการบรรเทาผลกระทบที่รวดเร็วและมีประสิทธิภาพ
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/top-mitre-attack-techniques-how-to-defend-against