Вебинар «Тактики хакеров и их обнаружение»

Кибератаки продолжаются и службы безопасности находятся в неравных условиях: хакеры активно обмениваются методиками и тактикой проведения атак, а защитники только на пути становления этого процесса. И что еще хуже, хакеру нужно знать и применять лишь одну успешную тактику, чтобы проникнуть в сеть, в то время как службе безопасности нужно знать методики всех хакеров и защищаться от них всех одновременно. Причем желательно получать информацию о новых методиках и защищаться от них автоматически. Существенный вклад в защиту приносят системы предотвращения атак, но их оказалось недостаточно, потому что существуют и используются методики их обхода.

Существуют исследователи, которые рассказывают на конференциях как происходят атаки, и выглядит это как презентация или статья. Но как использовать информацию из презентаций в своих устройствах?

Новым шагом в области ИБ стали механизмы автоматического обмена информацией о методиках и тактиках, а английском языке уже устоялся термин TTP (Tactics, Techniques, and Procedures). Что такое TTP? Это описание того что и как атакующий делает: какие типы вредоносного кода использует, какую инфраструктуру использует, на какой тип целей фокусируется.

Для каждого TTP существует набор индикаторов компрометации, что в английском языке закрепилось акронимом IoC (Indicator of Compromise). IoC используются для обнаружения признаков вредоносной активности, которыми могут быть сетевые соединения, пути файлов, ключи реестра, IP адреса, DNS и URL запросы, которые характерны какой-то активности.

Существует несколько языков описания TTP и IoC и обмена ними. Например это может быть Structured Threat Information eXpression (STIX™) — торговая марка компании MITRE. MITRE активно занимается помощью миру ИБ и об этом нужно знать.

В принципе действия каждого хакера можно описать конкретным набором техник, это называется playbook. Такие playbook опубликованы на сайтах исследовательских лабораторий и по ним уже можно разобраться что именно и как делает данная хакерская группа. Вот, например, playbook и TTP хакерской группы Cobalt
https://pan-unit42.github.io/playbook_viewer/?pb=cobaltgang

Если Вам интересно узнать про другие технологии, которые разрабатывает MITRE для автоматизации функций безопасности в каждой компании, то 17 сентября в 10:00 будет краткий обзор упомянутых и других терминов: TTP, IoC, STIX, TAXII, CybOX, MAEC, CAPEC, CVE, CWE, CCE, ATT&ACK, Adversary Playbook и т.д.

Вы сможете разобраться как выглядят и как использовать внешние базы индикаторов компрометации. Узнаете как обмениваться техниками атак в своем SIEM/SOC/SOAR. И начать автоматически в течение нескольких минут начать использовать международные наработки в области защиты.

Приглашаем на вебинар 17 сентября в 10:00. Регистрация открыта .
http://tiny.cc/PANW

Вебинар проводит Денис Батранков, консультант по информационной безопасности Palo Alto Networks, CISSP, PCNSE, GCIH.

Источник: Securitylab