Солдатов в Телеграм

Forwarded from purple shift

Если ваш SOC хорошо знает источники данных в организации, вы легко сможете автоматизировать оценку потенциальных угроз и приоритизировать задачи по разработке детектов — как мы уже рассказывали, для этого есть целый ряд полезных инструментов.

Но что если SOC нашел legacy-систему без документации? Надо проанализировать архитектуру, выявить возможные вектора атак, покрыть релевантными детектами. А если таких нестандартных систем — не одна, а десять? Правильный подход к мониторингу источников известен, но на практике он требует много времени и глубокого понимая системы.

Альтернативный вариант: проводим экспресс-анализ по применимости универсальных тактик атак и релевантных детектов для них. Вот основные события, которые можно покрыть универсальными правилами даже в нестандартной системе:

Аномалии аутенификации:
— Brute Force
— Password spraying
— Sharing creds
— The first logon to host (+ неуспешные попытки)
— The first logon from host (+ неуспешные попытки)
— Отслеживание профиля приложения клиента, которое использовалось для логина: отпечаток браузера для web, SQL-клиент для БД, толстый клиент для приложений и т.д. (вне профиля = алерт).

Манипуляции с привилегиями:
— Добавление/исключение в группу/из группы
— Изменение прав доступа
— Массовая блокировка/отключение администраторов
— Создание УЗ

Сеть:
— Изменение количества peer-ов
— Использование нетипичных для системы сетевых сервисов

Процессы и настройки:
— Выгрузка защищаемых ресурсов вне профиля
— Резервное копирование вне профиля
— Управление резервным копированием вне профиля
— Администрирование функций безопасности
— Удаление журналов аудита безопасности

Используя подобный подход, можно покрыть 11 из 14 тактик атак MITRE, что очень неплохо для незнакомой системы.

Более подробно о таких универсальных приемах Threat Hunting — слушайте завтра в докладе нашего эксперта Николая Советкина «Стандартные правила для нестандартных источников» на конференции PHDays (23 мая, 12:15). Для тех, кто не сможет присутствовать – обещают и трансляцию, и запись.

👍11

www.tgoop.com/soldatov_in_telegram/656

900 viewsMay 22 at 07:15

Если ваш SOC хорошо знает источники данных в организации, вы легко сможете автоматизировать оценку потенциальных угроз и приоритизировать задачи по разработке детектов — как мы уже рассказывали, для этого есть целый ряд полезных инструментов.

Но что если SOC нашел legacy-систему без документации? Надо проанализировать архитектуру, выявить возможные вектора атак, покрыть релевантными детектами. А если таких нестандартных систем — не одна, а десять? Правильный подход к мониторингу источников известен, но на практике он требует много времени и глубокого понимая системы.

Альтернативный вариант: проводим экспресс-анализ по применимости универсальных тактик атак и релевантных детектов для них. Вот основные события, которые можно покрыть универсальными правилами даже в нестандартной системе:

Аномалии аутенификации:
— Brute Force
— Password spraying
— Sharing creds
— The first logon to host (+ неуспешные попытки)
— The first logon from host (+ неуспешные попытки)
— Отслеживание профиля приложения клиента, которое использовалось для логина: отпечаток браузера для web, SQL-клиент для БД, толстый клиент для приложений и т.д. (вне профиля = алерт).

Манипуляции с привилегиями:
— Добавление/исключение в группу/из группы
— Изменение прав доступа
— Массовая блокировка/отключение администраторов
— Создание УЗ

Сеть:
— Изменение количества peer-ов
— Использование нетипичных для системы сетевых сервисов

Процессы и настройки:
— Выгрузка защищаемых ресурсов вне профиля
— Резервное копирование вне профиля
— Управление резервным копированием вне профиля
— Администрирование функций безопасности
— Удаление журналов аудита безопасности

Используя подобный подход, можно покрыть 11 из 14 тактик атак MITRE, что очень неплохо для незнакомой системы.

Более подробно о таких универсальных приемах Threat Hunting — слушайте завтра в докладе нашего эксперта Николая Советкина «Стандартные правила для нестандартных источников» на конференции PHDays (23 мая, 12:15). Для тех, кто не сможет присутствовать – обещают и трансляцию, и запись.

BY Солдатов в Телеграм