Мэдээллийн аюулгүй байдлын зөрчлийн дийлэнх нь (87%) хэдхэн минутын дотор тохиолддог бөгөөд компаниудын 68% нь илрүүлэхэд хэдэн сар зарцуулдаг. Үүнийг баталж байна , үүний дагуу ихэнх байгууллагууд ослыг илрүүлэхэд дунджаар 206 хоног зарцуулдаг. Манай мөрдөн байцаалтын туршлага дээр үндэслэн хакерууд олон жилийн турш компанийн дэд бүтцийг илрүүлэхгүйгээр хянаж чаддаг. Ийнхүү манай мэргэжилтнүүд мэдээллийн аюулгүй байдлын зөрчлийг шалгасан байгууллагын нэгэнд хакерууд байгууллагын бүх дэд бүтцийг бүрэн хянаж, чухал мэдээллийг тогтмол хулгайлж байсан нь тогтоогджээ. .
Танд бүртгэл цуглуулж, үйл явдалд дүн шинжилгээ хийдэг SIEM ажиллаж байгаа бөгөөд төгсгөлийн зангилаанууд дээр вирусны эсрэг програм суулгасан гэж бодъё. Гэсэн хэдий ч, , бүхэл бүтэн сүлжээнд EDR системийг хэрэгжүүлэх боломжгүй тул "сохор" толбо үүсэхээс зайлсхийх боломжгүй гэсэн үг юм. Сүлжээний хөдөлгөөний шинжилгээ (NTA) системүүд нь тэдгээрийг шийдвэрлэхэд тусалдаг. Эдгээр шийдлүүд нь сүлжээний нэвтрэлтийн хамгийн эхний үе шатанд халдагчийн үйл ажиллагааг илрүүлж, мөн сүлжээн дотор байр сууриа олж, халдлага үйлдэх оролдлогыг илрүүлдэг.
Хоёр төрлийн NTA байдаг: зарим нь NetFlow-тэй ажилладаг, зарим нь түүхий урсгалыг шинжилдэг. Хоёрдахь системийн давуу тал нь замын хөдөлгөөний түүхийг хадгалах боломжтой юм. Үүний ачаар мэдээллийн аюулгүй байдлын мэргэжилтэн халдлага амжилттай болсон эсэхийг шалгаж, аюулыг нутагшуулж, халдлага хэрхэн болсон, ирээдүйд ижил төстэй халдлагаас хэрхэн урьдчилан сэргийлэх талаар ойлгох боломжтой.
Мэдлэгийн санд тайлбарласан бүх мэдэгдэж буй халдлагын тактикийг тодорхойлохын тулд NTA ашиглан шууд болон шууд бус нотолгоог хэрхэн ашиглаж болохыг бид харуулах болно. . Бид 12 тактик тус бүрийн талаар ярилцаж, замын хөдөлгөөний үед илрүүлсэн техникийг шинжилж, манай NTA системийг ашиглан илрүүлж харуулах болно.
ATT&CK мэдлэгийн сангийн тухай
MITER ATT&CK нь MITER корпорациас бодит APT-ийн дүн шинжилгээнд үндэслэн хөгжүүлж, хадгалдаг олон нийтийн мэдээллийн сан юм. Энэ нь халдагчдын ашигладаг тактик, арга барилын бүтэцтэй багц юм. Энэ нь дэлхийн өнцөг булан бүрээс ирсэн мэдээллийн аюулгүй байдлын мэргэжилтнүүдэд нэг хэлээр ярих боломжийг олгодог. Мэдээллийн сан байнга өргөжиж, шинэ мэдлэгээр нэмэгдсээр байна.
Мэдээллийн сан нь кибер халдлагын үе шатаар хуваагддаг 12 тактикийг тодорхойлдог.
- анхны хандалт;
- гүйцэтгэл;
- нэгтгэх (тогтвортой байдал);
- давуу эрх нэмэгдүүлэх;
- илрүүлэхээс урьдчилан сэргийлэх (хамгаалахаас зайлсхийх);
- итгэмжлэл авах (итгэмжлэх жуух бичигт хандах);
- хайгуул;
- периметрийн доторх хөдөлгөөн (хажуугийн хөдөлгөөн);
- мэдээлэл цуглуулах (цуглуулга);
- тушаал, удирдлага;
- өгөгдөл гадагшлуулах;
- нөлөөлөл.
Тактик бүрийн хувьд ATT&CK мэдээллийн сан нь халдагчдад халдлагын одоогийн үе шатанд зорилгодоо хүрэхэд нь туслах арга техникүүдийн жагсаалтыг гаргадаг. Нэг техникийг өөр өөр үе шатанд ашиглаж болох тул энэ нь хэд хэдэн тактиктай холбоотой байж болно.
Техник бүрийн тайлбарт дараахь зүйлс орно.
- танигч;
- ашигласан тактикийн жагсаалт;
- APT бүлгүүдийн хэрэглээний жишээ;
- түүний ашиглалтаас үүсэх хохирлыг бууруулах арга хэмжээ;
- илрүүлэх зөвлөмж.
Мэдээллийн аюулгүй байдлын мэргэжилтнүүд өгөгдлийн сангаас олж авсан мэдлэгийг ашиглан одоогийн халдлагын аргуудын талаарх мэдээллийг зохион байгуулж, үүнийг харгалзан аюулгүй байдлын үр дүнтэй системийг бий болгож чадна. Бодит APT бүлгүүд хэрхэн ажилладагийг ойлгох нь доторх аюулыг идэвхтэй хайх таамаглалын эх сурвалж болж чадна. .
PT Network Attack Discovery-ийн тухай
Бид системийг ашиглан ATT&CK матрицаас техник ашиглахыг тодорхойлох болно — Сүлжээний периметр болон доторх халдлагыг илрүүлэх зорилготой Positive Technologies NTA систем. PT NAD нь MITER ATT&CK матрицын бүх 12 тактикийг янз бүрийн хэмжээгээр хамардаг. Тэрээр анхны нэвтрэх, хажуугийн хөдөлгөөн, команд, удирдлагын арга техникийг тодорхойлоход хамгийн хүчирхэг юм. Тэдгээрийн дотор PT NAD нь мэдэгдэж буй аргуудын талаас илүү хувийг хамардаг бөгөөд тэдгээрийн хэрэглээг шууд болон шууд бус шинж тэмдгээр илрүүлдэг.
Систем нь багийн үүсгэсэн илрүүлэх дүрмийг ашиглан ATT&CK техникийг ашиглан халдлагыг илрүүлдэг (PT ESC), машин сургалт, буулт хийх үзүүлэлтүүд, гүнзгий аналитик ба ретроспектив шинжилгээ. Бодит цагийн замын хөдөлгөөний дүн шинжилгээ нь эргэн тойронтой хослуулсан нь одоогийн далд хортой үйл ажиллагааг тодорхойлох, хөгжлийн векторууд болон халдлагын он дарааллыг хянах боломжийг олгодог.
PT NAD-ийн MITER ATT&CK матрицын бүрэн зураглал. Зураг нь том тул тусдаа цонхноос үзэхийг санал болгож байна.
Анхны хандалт
Анхны хандалтын тактикууд нь компанийн сүлжээнд нэвтрэх арга техникийг агуулдаг. Энэ үе шатанд халдагчдын зорилго бол халдлагад өртсөн системд хортой кодыг хүргэж, түүнийг цаашид хэрэгжүүлэх боломжийг баталгаажуулах явдал юм.
PT NAD-ийн замын хөдөлгөөний шинжилгээ нь анхны хандалтыг олж авах долоон аргыг харуулж байна.
1. : машинаар буулт хийх
Хохирогч халдагчид вэб хөтчийг ашиглах, програмын хандалтын жетон авахын тулд ашигладаг вэб сайтыг нээдэг арга.
PT NAD юу хийдэг вэ?: Хэрэв вэб траффик шифрлэгдээгүй бол PT NAD HTTP серверийн хариултуудын агуулгыг шалгадаг. Эдгээр хариултууд нь халдагчдад хөтөч дотор дурын кодыг ажиллуулах боломжийг олгодог мөлжлөгүүдийг агуулдаг. PT NAD нь илрүүлэх дүрмийг ашиглан ийм мөлжлөгийг автоматаар илрүүлдэг.
Нэмж дурдахад PT NAD нь өмнөх алхам дахь аюулыг илрүүлдэг. Хэрэглэгч өөрийг нь олон мөлжлөг бүхий сайт руу дахин чиглүүлсэн сайтад зочилсон тохиолдолд буулт хийх дүрэм, үзүүлэлтүүд идэвхждэг.
2. : олон нийтэд зориулсан программыг ашиглах
Интернетээс нэвтрэх боломжтой үйлчилгээний эмзэг байдлыг ашиглах.
PT NAD юу хийдэг вэ?: Сүлжээний пакетуудын агуулгыг гүнзгий шалгаж, хэвийн бус үйл ажиллагааны шинж тэмдгийг тодорхойлно. Ялангуяа контентын удирдлагын томоохон системүүд (CMS), сүлжээний төхөөрөмжийн вэб интерфэйсүүд, шуудан болон FTP серверүүд рүү халдсан халдлагуудыг илрүүлэх боломжийг олгодог дүрмүүд байдаг.
3. : гадаад алсын үйлчилгээ
Халдагчид гаднаас дотоод сүлжээний нөөцтэй холбогдохын тулд алсаас хандалтын үйлчилгээг ашигладаг.
PT NAD юу хийдэг вэ?: систем нь протоколуудыг портын дугаараар биш, харин пакетуудын агуулгаар таньдаг тул системийн хэрэглэгчид зайнаас хандалтын протоколын бүх сессийг олохын тулд траффикийг шүүж, тэдгээрийн хууль ёсны эсэхийг шалгах боломжтой.
4. : жадны хавсралт
Бид фишинг хавсралтуудын зартай илгээлтийн тухай ярьж байна.
PT NAD юу хийдэг вэ?: Замын хөдөлгөөнөөс файлуудыг автоматаар задалж, эвдэрсэн шинж тэмдгүүдийн эсрэг шалгана. Хавсралт дахь гүйцэтгэгдэх боломжтой файлуудыг захидлын урсгалын агуулгыг шинжилдэг дүрмээр илрүүлдэг. Корпорацийн орчинд ийм хөрөнгө оруулалтыг хэвийн бус гэж үздэг.
5. : жадны фишинг хийх холбоос
Фишинг холбоосыг ашиглах. Энэхүү техник нь халдагчид дарсан үед хортой програм татаж авах холбоос бүхий фишинг имэйл илгээдэг. Дүрмээр бол холбоосыг нийгмийн инженерчлэлийн бүх дүрмийн дагуу эмхэтгэсэн текст дагалддаг.
PT NAD юу хийдэг вэ?: Буултын үзүүлэлтүүдийг ашиглан фишинг холбоосыг илрүүлдэг. Жишээлбэл, PT NAD интерфэйс дээр бид фишинг хаягуудын жагсаалтад (phishing-url) орсон холбоосоор HTTP холболт хийсэн сессийг харж байна.
Фишинг-url-ийн эвдрэлийн үзүүлэлтүүдийн жагсаалтаас холбоосоор холбогдоно
6. : найдвартай харилцаа
Хохирогч найдвартай харилцаа тогтоосон гуравдагч этгээдээр дамжуулан хохирогчийн сүлжээнд нэвтрэх. Халдагчид итгэмжлэгдсэн байгууллагыг хакердаж, үүгээр дамжуулан зорилтот сүлжээнд холбогдох боломжтой. Үүнийг хийхийн тулд тэд VPN холболт эсвэл домэйн итгэлцлийг ашигладаг бөгөөд үүнийг замын хөдөлгөөний шинжилгээгээр тодорхойлж болно.
PT NAD юу хийдэг вэ?: програмын протоколуудыг задлан шинжилж, задалсан талбаруудыг өгөгдлийн санд хадгалдаг бөгөөд ингэснээр мэдээллийн аюулгүй байдлын шинжээч шүүлтүүр ашиглан өгөгдлийн сангаас сэжигтэй VPN холболтууд эсвэл домайн хоорондын холболтуудыг олох боломжтой.
7. : хүчинтэй дансууд
Гадаад болон дотоод үйлчилгээнүүдэд зөвшөөрөл олгохдоо стандарт, орон нутгийн эсвэл домэйн итгэмжлэлүүдийг ашиглах.
PT NAD юу хийдэг вэ?: HTTP, FTP, SMTP, POP3, IMAP, SMB, DCE/RPC, SOCKS5, LDAP, Kerberos протоколуудаас итгэмжлэлүүдийг автоматаар татаж авдаг. Ерөнхийдөө энэ нь нэвтрэх, нууц үг, амжилттай нэвтрэлт танилтын шинж тэмдэг юм. Хэрэв тэдгээрийг ашигласан бол харгалзах сессийн картанд харуулна.
Гүйцэтгэл
Гүйцэтгэлийн тактикт халдагчид халдлагад өртсөн систем дээр код гүйцэтгэхэд ашигладаг арга техникүүд багтана. Хортой кодыг ажиллуулах нь халдагчдад байгаа эсэхийг тогтооход тусалдаг (тогтвортой тактик) болон периметрийн дотор шилжиж сүлжээний алсын системд хандах хандалтыг өргөжүүлдэг.
PT NAD нь халдагчдын хортой кодыг ажиллуулахад ашигладаг 14 аргыг ашиглах боломжийг танд олгоно.
1. : CMSTP (Microsoft Connection Manager Profile Installer)
Халдагчид Windows-д суулгасан CMSTP.exe (холболтын менежерийн профайл суулгагч) хэрэгсэлд зориулж тусгай хортой суулгацын INF файл бэлтгэдэг тактик. CMSTP.exe файлыг параметр болгон авч алсын холболтын үйлчилгээний профайлыг суулгадаг. Үүний үр дүнд CMSTP.exe-г алсын серверүүдээс динамик холбоосын сангууд (*.dll) эсвэл скриптүүдийг (*.sct) ачаалж, ажиллуулахад ашиглаж болно.
PT NAD юу хийдэг вэ?: HTTP траффик дахь тусгай төрлийн INF файлуудын шилжүүлгийг автоматаар илрүүлдэг. Үүнээс гадна, энэ нь алсын серверээс хортой скрипт болон динамик холбоосын сангуудын HTTP дамжуулалтыг илрүүлдэг.
2. : тушаалын мөрийн интерфейс
Тушаалын мөрийн интерфейстэй харилцах. Тушаалын мөрийн интерфэйс нь локал болон алсаас, жишээ нь алсаас хандалтын хэрэгслүүдийг ашиглан харилцах боломжтой.
PT NAD юу хийдэг вэ?: ping, ifconfig гэх мэт янз бүрийн командын шугамын хэрэгслүүдийг ажиллуулах командын хариулт дээр үндэслэн бүрхүүл байгаа эсэхийг автоматаар илрүүлдэг.
3. : бүрэлдэхүүн хэсэг объектын загвар ба тархсан COM
Сүлжээгээр дамжих үед локал эсвэл алсын систем дээр код ажиллуулахын тулд COM эсвэл DCOM технологийг ашиглах.
PT NAD юу хийдэг вэ?: Халдагчид ихэвчлэн програм эхлүүлэхэд ашигладаг сэжигтэй DCOM дуудлагуудыг илрүүлдэг.
4. : үйлчлүүлэгчийн гүйцэтгэлд зориулсан мөлжлөг
Ажлын станц дээр дурын кодыг ажиллуулахын тулд сул талуудыг ашиглах. Халдагчдад хамгийн хэрэгтэй мөлжлөгүүд нь алсын систем дээр кодыг гүйцэтгэх боломжийг олгодог бөгөөд тэдгээр нь халдагчдад тухайн системд нэвтрэх боломжийг олгодог. Энэхүү техникийг дараах аргуудыг ашиглан хэрэгжүүлж болно: хортой шуудангаар илгээх, хөтчийн мөлжлөг бүхий вэбсайт, програмын сул талыг алсаас ашиглах.
PT NAD юу хийдэг вэ?: Захидлын урсгалыг задлан шинжлэх үед PT NAD нь хавсралт доторх гүйцэтгэгдэх файл байгаа эсэхийг шалгадаг. Мөлжилт агуулсан байж болзошгүй имэйлээс оффисын баримт бичгүүдийг автоматаар гаргаж авдаг. Эмзэг байдлыг ашиглах оролдлого нь замын хөдөлгөөнд харагдах бөгөөд үүнийг PT NAD автоматаар илрүүлдэг.
5. : мшта
.hta өргөтгөлтэй Microsoft HTML програмуудыг (HTA) ажиллуулдаг mshta.exe хэрэгслийг ашиглана уу. Mshta нь хөтчийн аюулгүй байдлын тохиргоог алгасаж файлуудыг боловсруулдаг тул халдагчид mshta.exe-г ашиглан хортой HTA, JavaScript эсвэл VBScript файлуудыг ажиллуулж болно.
PT NAD юу хийдэг вэ?: mshta-аар гүйцэтгэх .hta файлууд нь сүлжээгээр дамждаг - үүнийг урсгалаас харж болно. PT NAD нь ийм хортой файлуудын дамжуулалтыг автоматаар илрүүлдэг. Энэ нь файлуудыг барьж авдаг бөгөөд тэдгээрийн талаарх мэдээллийг сессийн картаас харж болно.
6. : PowerShell
PowerShell ашиглан мэдээлэл олж, хортой кодыг ажиллуул.
PT NAD юу хийдэг вэ?: PowerShell-ийг алсаас халдагчид ашиглах үед PT NAD үүнийг дүрэм ашиглан илрүүлдэг. Энэ нь хортой скриптэд ихэвчлэн ашиглагддаг PowerShell хэлний түлхүүр үгс болон SMB протоколоор PowerShell скриптүүдийг дамжуулахыг илрүүлдэг.
7. : хуваарьт ажил
Windows Task Scheduler болон бусад хэрэгслийг ашиглан програм эсвэл скриптийг тодорхой цагт автоматаар ажиллуулна.
PT NAD юу хийдэг вэ?: халдагчид ийм даалгавруудыг ихэвчлэн алсаас хийдэг бөгөөд энэ нь замын хөдөлгөөнд ийм сессүүд харагдах болно гэсэн үг юм. PT NAD нь ATSVC болон ITaskSchedulerService RPC интерфэйсүүдийг ашиглан сэжигтэй даалгавар үүсгэх, өөрчлөх үйлдлийг автоматаар илрүүлдэг.
8. : скрипт бичих
Халдагчдын янз бүрийн үйлдлийг автоматжуулах скриптүүдийг гүйцэтгэх.
PT NAD юу хийдэг вэ?: скриптийг сүлжээгээр дамжуулж байгааг, өөрөөр хэлбэл эхлүүлэхээс өмнө илрүүлдэг. Энэ нь түүхий траффик дахь скриптийн агуулгыг илрүүлж, түгээмэл скрипт хэлтэй тохирох өргөтгөлтэй файлуудын сүлжээний дамжуулалтыг илрүүлдэг.
9. : үйлчилгээний гүйцэтгэл
Үйлчилгээний хяналтын менежер (SCM) зэрэг Windows үйлчилгээнүүдтэй харьцах замаар гүйцэтгэгдэх файл, командын мөрийн интерфейсийн заавар эсвэл скриптийг ажиллуул.
PT NAD юу хийдэг вэ?: SMB урсгалыг шалгаж, үйлчилгээг бий болгох, өөрчлөх, эхлүүлэх дүрмийн дагуу SCM-д хандах хандалтыг илрүүлдэг.
Үйлчилгээг эхлүүлэх техникийг PSExec алсын тушаалыг гүйцэтгэх хэрэгслийг ашиглан хэрэгжүүлж болно. PT NAD нь SMB протоколд дүн шинжилгээ хийж, алсын машин дээр код ажиллуулахын тулд PSEXESVC.exe файл эсвэл стандарт PSEXECSVC үйлчилгээний нэрийг ашиглах үед PSExec-ийн хэрэглээг илрүүлдэг. Хэрэглэгч гүйцэтгэсэн тушаалуудын жагсаалт болон хостоос алсаас тушаал гүйцэтгэх хууль ёсны эсэхийг шалгах шаардлагатай.
PT NAD дахь халдлагын карт нь ATT&CK матрицын дагуу ашигласан тактик, арга техникийг харуулсан өгөгдлийг харуулдаг бөгөөд ингэснээр хэрэглэгч халдлага үйлдэгчид халдлагын ямар үе шатанд байгаа, ямар зорилго тавьж байгаа, нөхөн олговор олгох ямар арга хэмжээ авахыг ойлгох боломжтой болно.
PSExec хэрэгслийг ашиглах дүрмийг эхлүүлсэн бөгөөд энэ нь алсын машин дээр тушаалуудыг гүйцэтгэх оролдлогыг илтгэж магадгүй юм.
10. : гуравдагч талын програм хангамж
Халдагчид алсын удирдлагын программ хангамж эсвэл корпорацийн програм хангамжийг байршуулах системд нэвтэрч, түүгээрээ хортой кодыг ажиллуулах арга. Ийм програм хангамжийн жишээ: SCCM, VNC, TeamViewer, HBSS, Altiris.
Дашрамд дурдахад, энэ техник нь алсын зайн ажилд асар их шилжиж, үүний үр дүнд олон тооны хамгаалалтгүй гэрийн төхөөрөмжийг алсаас нэвтрэх эргэлзээтэй сувгаар холбохтой холбоотой юм.
PT NAD юу хийдэг вэ?: сүлжээнд ийм програм хангамжийн ажиллагааг автоматаар илрүүлдэг. Жишээлбэл, дүрмүүд нь VNC протоколоор холбогдсон холболтууд болон хохирогчийн хост дээр VNC серверийг нууцаар суулгаж автоматаар ажиллуулдаг EvilVNC трояны үйл ажиллагаанаас үүдэлтэй. Мөн PT NAD нь TeamViewer протоколыг автоматаар илрүүлдэг бөгөөд энэ нь шинжээчдэд шүүлтүүр ашиглан ийм бүх сешнүүдийг олж, хууль ёсны эсэхийг шалгахад тусалдаг.
11. : хэрэглэгчийн гүйцэтгэл
Хэрэглэгч кодыг гүйцэтгэхэд хүргэж болох файлуудыг ажиллуулдаг техник. Жишээлбэл, тэр гүйцэтгэгдэх файлыг нээх эсвэл оффисын баримт бичгийг макро ашиглан ажиллуулдаг бол энэ нь байж болно.
PT NAD юу хийдэг вэ?: ийм файлуудыг эхлүүлэхийн өмнө шилжүүлэх үе шатанд хардаг. Тэдний тухай мэдээллийг дамжуулсан хуралдааны картаас судалж болно.
12. : Windows удирдлагын хэрэгсэл
Windows системийн бүрэлдэхүүн хэсгүүдэд дотоод болон алсаас хандах боломжийг олгодог WMI хэрэгслийг ашиглах. WMI-г ашигласнаар халдагчид локал болон алсын системүүдтэй харилцаж, тагнуулын зорилгоор мэдээлэл цуглуулах, хажуу тийш хөдөлж байхдаа алсаас процессыг эхлүүлэх зэрэг олон төрлийн ажлыг гүйцэтгэх боломжтой.
PT NAD юу хийдэг вэ?: WMI-ээр дамжуулан алсын системтэй харилцах нь траффик дээр харагдах тул PT NAD нь WMI сесс үүсгэх сүлжээний хүсэлтийг автоматаар илрүүлж, WMI ашигладаг скриптүүдийн урсгалыг шалгадаг.
13. : Windows алсын удирдлага
Хэрэглэгч алсын системтэй харилцах боломжийг олгодог Windows үйлчилгээ болон протоколыг ашиглах.
PT NAD юу хийдэг вэ?: Windows Remote Management ашиглан сүлжээний холболтуудыг хардаг. Ийм сессийг дүрмээр автоматаар илрүүлдэг.
14. : XSL (Extensible Stylesheet Language) скрипт боловсруулах
XSL загварын тэмдэглэгээний хэл нь XML файл дахь өгөгдлийг боловсруулах, дүрслэн харуулахад ашиглагддаг. Нарийн төвөгтэй ажиллагааг дэмжихийн тулд XSL стандарт нь янз бүрийн хэл дээрх суулгагдсан скриптүүдийн дэмжлэгийг агуулдаг. Эдгээр хэлүүд нь дурын кодыг гүйцэтгэх боломжийг олгодог бөгөөд энэ нь цагаан жагсаалтад суурилсан аюулгүй байдлын бодлогыг тойрч гарахад хүргэдэг.
PT NAD юу хийдэг вэ?: ийм файлуудыг сүлжээгээр дамжуулж, өөрөөр хэлбэл тэдгээрийг эхлүүлэхээс өмнө илрүүлдэг. Энэ нь сүлжээгээр дамжиж буй XSL файлууд болон хэвийн бус XSL тэмдэглэгээтэй файлуудыг автоматаар илрүүлдэг.
Дараах материалуудад бид PT Network Attack Discovery NTA систем нь MITER ATT&CK-ийн дагуу халдагчийн бусад тактик, арга техникийг хэрхэн олохыг авч үзэх болно. Хамтдаа байгаарай!
зохиогчид:
- Антон Кутепов, PT Expert Security Center, Positive Technologies-ийн мэргэжилтэн
- Наталья Казанкова, Positive Technologies компанийн бүтээгдэхүүн борлуулагч
Эх сурвалж: www.habr.com