Cisco рассказала об основных векторах угроз и тактиках киберпреступников

Эксперты из компании Cisco изучили базы данных MITER ATT&CK и рассказали о векторах угроз, на которых сотрудники служб кибербезопасности предприятий должны сосредоточить свои усилия.

Как сообщили специалисты, в первой половине 2020 года бесфайловые взломы были наиболее распространенным вектором атак на предприятия. Бесфайловые атаки включают внедрение процессов, подделку реестра и использование таких вредоносов, как бесфайловый троян Kovter, внедритель кода на основе легитимных процессов Poweliks и бесфайловое вредоносное ПО Divergent.

На втором месте находятся инструменты двойного назначения, включая Metasploit, PowerShell, CobaltStrike и Powersploit. Легальные инструменты тестирования на проникновение, такие как Metasploit, приносят пользу кибербезопасности в целом, но, к сожалению, преступники могут использовать эти решения в незаконных целях.

Легитимная система аутентификации и управления учетными данными Mimikatz заняла третье место, поскольку злоумышленники начали использовать ее для хищения учетных данных.

По данным Cisco, в первой половине 2020 года вышеперечисленные векторы атак составляют примерно 75% наблюдаемых индикаторов компрометации.

Общее количество предупреждений о выполнении кода достигло 55%, поставив данную тактику на первое место. Частота обхода защитных решений упала на 12% до 45%, в то время как достижение персистентности, перемещение по сети и доступ к учетным данным выросли на 27%, 18% и 17% соответственно.

Кроме того, некоторые классификации полностью исчезли из списка или составляли менее одного процента предупреждений об индикаторах компрометации, включая начальный доступ, повышение привилегий и обнаружение, что свидетельствует о смещении фокуса, когда дело доходит до серьезных атак.

Для защиты от угроз высокого уровня Cisco рекомендует администраторам использовать групповые политики или белые списки для выполнения файлов, а если организации требуются инструменты двойного использования, следует реализовать временные политики доступа. Кроме того, также следует периодически проверять соединения между конечными точками.