Раскрытие невидимого: Техники обнаружения LOTL и LOLbins

Детализированные ‎журналы‏ ‎событий

📌 Внедрение ‎комплексной ‎системы ‎регистрации ‎событий:‏ ‎решающее ‎значение‏ ‎имеет‏ ‎создание ‎механизмов ‎регистрации‏ ‎всех ‎ИБ-событий‏ ‎на ‎разных ‎платформах ‎и‏ ‎обеспечение‏ ‎агрегирования ‎журналов‏ ‎в ‎централизованном‏ ‎хранилище ‎для ‎предотвращения.

📌 Ведение ‎журнала ‎в‏ ‎облачной‏ ‎среде: ‎для‏ ‎облачных ‎сред‏ ‎важно ‎регистрировать ‎различные ‎события ‎ввиду‏ ‎их‏ ‎большего‏ ‎количества ‎и‏ ‎настроить ‎политики‏ ‎управления ‎журналами‏ ‎событий‏ ‎для ‎всех‏ ‎облачных ‎служб, ‎особенно ‎редко ‎используемых‏ ‎с ‎целью‏ ‎обнаружения‏ ‎действий ‎злоумышленников.

📌 Детализация ‎событий‏ ‎безопасности: ‎включение‏ ‎детализации ‎событий, ‎таких ‎как‏ ‎командные‏ ‎строки, ‎действия‏ ‎PowerShell ‎и‏ ‎отслеживание ‎событий ‎WMI, ‎обеспечивает ‎более‏ ‎глубокое‏ ‎представление ‎об‏ ‎использовании ‎инструмента‏ ‎в ‎среде, ‎помогая ‎обнаруживать ‎вредоносные‏ ‎действия‏ ‎LOTL.

Установление‏ ‎поведенческих ‎ориентиров

📌 Отслеживание‏ ‎отклонений ‎в‏ ‎параметрах: ‎отслеживание‏ ‎параметров‏ ‎установленных ‎инструментов,‏ ‎программного ‎обеспечения, ‎поведения ‎учётной ‎записи‏ ‎и ‎сетевого‏ ‎трафика‏ ‎позволяет ‎защитникам ‎выявлять‏ ‎отклонения, ‎которые‏ ‎могут ‎указывать ‎на ‎вредоносную‏ ‎активность.

📌 Мониторинг‏ ‎сети ‎и‏ ‎поиск ‎угроз: улучшение‏ ‎мониторинга ‎сети, ‎расширение ‎хранилища ‎журналов‏ ‎и‏ ‎углубление ‎тактики‏ ‎поиска ‎угроз‏ ‎жизненно ‎важны ‎для ‎выявления ‎длительного‏ ‎присутствия‏ ‎атакующих.

Автоматизация‏ ‎и ‎эффективность

📌 Использование‏ ‎автоматизации: использование ‎автоматизации‏ ‎для ‎постоянного‏ ‎изучения‏ ‎журналов ‎и‏ ‎сравнения ‎текущих ‎действий ‎с ‎установленными‏ ‎параметрами ‎поведения‏ ‎повышает‏ ‎эффективность ‎поиска, ‎особенно‏ ‎с ‎акцентом‏ ‎на ‎привилегированные ‎учётные ‎записи‏ ‎и‏ ‎критически ‎важные‏ ‎активы.

Снижения ‎«шума»‏ ‎от ‎системы ‎оповещения

📌 Совершенствование ‎инструментов ‎мониторинга:‏ ‎важно‏ ‎совершенствовать ‎инструменты‏ ‎мониторинга ‎и‏ ‎механизмы ‎оповещения, ‎чтобы ‎проводить ‎различие‏ ‎между‏ ‎типичными‏ ‎административными ‎действиями‏ ‎и ‎поведением,‏ ‎связанным ‎с‏ ‎угрозой,‏ ‎сосредоточив ‎внимание‏ ‎на ‎предупреждениях, ‎которые ‎с ‎наибольшей‏ ‎вероятностью ‎указывают‏ ‎на‏ ‎подозрительные ‎действия.

Использование ‎UEBA

📌 Аналитика‏ ‎поведения ‎пользователей‏ ‎и ‎организаций ‎(UEBA): ‎использование‏ ‎UEBA‏ ‎для ‎анализа‏ ‎и ‎сопоставления‏ ‎действий ‎в ‎нескольких ‎источниках ‎данных‏ ‎помогает‏ ‎выявлять ‎потенциальные‏ ‎инциденты ‎безопасности,‏ ‎которые ‎могут ‎быть ‎пропущены ‎традиционными‏ ‎инструментами,‏ ‎и‏ ‎профилировать ‎поведение‏ ‎пользователей ‎для‏ ‎обнаружения ‎внутренних‏ ‎угроз‏ ‎или ‎скомпрометированных‏ ‎учётных ‎записей.

Особенности ‎облачных ‎технологий

📌 Проектирование ‎облачной‏ ‎среды: проектирование ‎облачной‏ ‎среды‏ ‎для ‎обеспечения ‎надлежащего‏ ‎разделения ‎основных‏ ‎и ‎дополнительных ‎журналов ‎позволяет‏ ‎лучше‏ ‎отслеживать ‎потенциальные‏ ‎действия ‎LOTL.