Услуги
Аудит информационной безопасности

Аудит информационной безопасности компании – многоплановая задача, в
которую входит несколько направлений анализа
ИТ-инфраструктуры и оценки защищенности приложений и устройств

Подробнее
Решения
Решения

Аккумулировав весь опыт Digital Security, мы подготовили отдельные решения по аудиту безопасности. Каждое решение объединяет специализированные услуги для конкретной отрасли бизнеса или сферы исследования. Вы можете выбрать любую из них или несколько — в комплексе

О нас
Digital Security

Практическая информационная безопасность – наша специализация и любимое дело. Уже 18 лет мы помогаем нашим клиентам уберечь сервисы и системы от киберугроз, а также активно участвуем в развитии мирового ИБ-сообщества

Подробнее
Экспертиза
Экспертиза

Для клиентов Digital Security работает команда экспертов ИБ мирового уровня. Мы получаем благодарности за вклад в обеспечение безопасности от лидеров ИТ-индустрии, а также подтверждаем свои навыки международными сертификатами в области ИБ

Подробнее
Ресурсы
Ресурсы

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Подробнее

Мы создаем контент для тех, кому интересна информационная безопасность. Многостраничные технические статьи, бизнес-аналитика с емкими выводами, записи вебинаров и презентации с профильных конференций — все вы найдете в этом разделе

Посмотреть раздел

Масштабные исследования и аналитические обзоры. Описания хакерских инструментов и техник

Статьи и аналитические работы, полезные для бизнеса. Экспертное мнение об актуальных проблемах информационной безопасности

Видеоархив наших вебинаров и конференций. А также анонсы предстоящих мероприятий

Руководства, презентации, чек-листы. Гайды для повышения уровня осведомленности в вопросах ИБ

Наверх

Выбираем методы активной защиты с помощью MITRE

01.02.2021 /
Прочитать позже

    Отправим материал на:

    Выбираем методы активной защиты с помощью MITRE

    В поле нашего зрения попала матрица Shield от MITRE, в которой приводятся тактики активной защиты от действий злоумышленников. В отличие от матрицы ATT&CK, которую многие знают, уважают и используют, Shield не так хорошо известна. Тем не менее, описанные в ней тактики помогут более эффективно противостоять атакам.

    Злоумышленники очень изобретательны и редко пасуют перед трудностями. Поэтому методы активной защиты, подразумевающие изучение их поведения, отслеживание действий и реагирование в реальном времени всегда будут актуальны.

    Привычная всем нам классификация методов защиты выглядит следующим образом:

    • криптографические методы защиты, изменяющие вид и структуру информации при передаче по сети и во время хранения
    • организационные методы защиты данных
    • технические и технологические методы защиты информации, подразумевающие использование специальных программных и аппаратных средств

     

    Все методы, приведенные ниже, можно назвать статичными:

    • настроить СЗИ, чтобы не дать злоумышленнику прорваться в инфраструктуру
    • настроить права доступа для пользователей
    • установить минимальные привилегии…

    …и так далее. Их объединяет то, что они практически не предполагают какого-либо взаимодействия со злоумышленником. А ведь именно так можно не только узнать гораздо больше о его намерениях и инструментарии, но и, конечно же, не дать продвинуться вглубь защищаемой инфраструктуры.

    Цель активных методов защиты заключается в том, чтобы помешать действиям злоумышленников непосредственно в момент их осуществления или даже предвосхищая их. Кроме того, активная защита включают в себя и сбор информации о возможностях атакующего. Специалисты MITRE предлагают следующие тактики активной защиты.

    Теперь подробнее о каждой из тактик.

    Перенаправление

    В нашем случае направить злоумышленника по ложному пути – отличная идея. Например, его можно отвлечь от важных систем и сегментов сети, перенаправив на поддельные, потеря контроля над которыми не принесет вреда реальной инфраструктуре.

    Таким образом, злоумышленник зря потратит время, ресурсы и мотивацию, а специалисты по ИБ смогут изучить его поведение.

     

    Сбор информации

    Все действия злоумышленника можно записывать и изучать, чтобы сделать инфраструктуру системы более безопасной. Сбор информации о злоумышленнике и его действиях включает в себя логирование и сбор образцов используемых вредоносных программ.

     

    Сдерживание

    Злоумышленника можно загнать в рамки. Для этого нужно обеспечить замкнутую среду, из которой он не сможет выйти и навредить другим частям инфраструктуры. Это может быть, например, запрет доступа к определенным системам и подсетям. Подобные меры направлены на предотвращение атак по методу «бокового смещения» (lateral movement).

     

    Обнаружение

    Действия злоумышленника необходимо обнаружить, прежде чем на них как-то реагировать. В системе должны быть настроены оповещения о том, что атакующий достиг тех или иных точек.

     

    Прерывание

    Действиям злоумышленника можно помешать, усложнив стоящие перед ним задачи или усилив контроль. Так ему придется затратить больше ресурсов и времени.

     

    Содействие

    Да-да, вы не ослышались. Противнику можно помочь завершить его дело. Можно использовать незащищенные версии ОС или ПО, ненадежные пароли; открыть порты, но только там, где это не нанесет вреда вашей инфраструктуре.

     

    Легитимация

    Никогда не помешает придать аутентичности ложным компонентам, чтобы убедить злоумышленника в реалистичности обстановки. Это могут быть псевдореальные учетные записи, файлы, операции системы — словом, все, до чего злоумышленник может добраться.

     

    Тестирование

    В рамках тестирования злоумышленнику можно предоставить возможности проникнуть в систему и проверить, интересен ли ему определенный контент. Также можно усложнить задачи, стоящие перед ним, чтобы выяснить уровень его подготовки.

    Конечно же, применить все тактики разом невозможно, поэтому стоит выбирать варианты, которые подходят защищаемой инфраструктуре. Каждой тактике соответствуют определенные техники, а одна и та же техника может использоваться в разных тактиках. В описании каждой техники защиты перечислены и методы, используемые злоумышленниками, что поможет лучше сориентироваться при выборе инструментов для защиты системы.

    Отметим, что разработчики Shield от MITRE предлагают всем желающим поучаствовать в работе над матрицами. Они открыты для новых идей.

    Больше интересных статей

    Мы используем куки. Никогда такого не было, объясните

    ОК