Кибербезопасность с точки зрения защитников

Это видео натолкнуло меня на следующие мысли.

Говорят, стать киберпреступником еще никогда не было так просто. Вы действительно можете получить тонны ресурсов, программное обеспечение с готовыми атаками, POC (доказательство концепции), утечку паролей и многое другое бесплатно.

Даже продвинутые группы угроз иногда публиковали свои эксплойты, подобные темному открытому исходному коду. Некоторые средства атаки настолько всеобъемлющи и хорошо задокументированы, что даже люди с минимальным техническим образованием могут начать их использовать (например, новички, детишки со сценариями).

Это может ввести в заблуждение неискушенных людей, которые находят что-то в Интернете или на доступных onion-серверах и начинают атаковать в дикой природе, но резко недооценивают возможности защиты.

Все идет нормально. Мы сохраним наши слезы на другой день.

С точки зрения защитников, ситуация также сильно изменилась. В настоящее время компании используют передовые решения для обеспечения безопасности с интеллектуальными функциями, способными обнаруживать большинство угроз, поэтому, даже если вы попробуете некоторые популярные наборы эксплойтов или базовые атаки, вы, вероятно, потерпите неудачу, возможно, вас поймают.

Однако продвинутые злоумышленники и киберпреступники это знают. Они все больше и больше сосредотачиваются на уклонении, чтобы оставаться незамеченными, и обманывают защитников необычными стратегиями, например:

• использование необычных подходов, таких как стеганография и другие дополнительные уровни запутывания

• ограничение фишинговых кампаний до меньшего количества людей, чтобы оптимизировать вероятность успеха и остаться незамеченными

• обманные алгоритмы и системы на основе ML (машинное обучение)

• Эксфильтрация данных в качестве рычага для угроз компаниям в случае неудачной атаки программ-вымогателей, что теперь часто происходит с удалением программ-вымогателей и стратегиями исправления.

• Ожидание аналитики APT (расширенных постоянных угроз), поскольку многие поставщики средств защиты отображают известные группы и их методы

• обман Защитника Windows и других антивирусных решений, возможно, деактивация их и брандмауэра перед установкой вредоносного ПО

• предсказание реакции защитника на неизвестные или необычные командные строки (например, гугление подозрительных команд, захваченных в журналах)

Последнее мне показалось довольно интересным: «Что бы я сделал, если бы я был аналитиком по безопасности и нашел журналы с рядом инструкций, которых я никогда раньше не видел»?

Как предложил Дэйв Кеннеди, я бы, вероятно, использовал поисковую систему, чтобы проверить, законно это или нет. По крайней мере, он бы сказал мне, что это такое. Однако продвинутые хакеры могли замаскировать свои вредоносные данные в таком законном процессе, и на данный момент даже ИИ и другие технологии обнаружения не спасут мою задницу.

Меня могут обмануть журналы, если Google будет продолжать говорить мне, что это не подозрительный процесс, но все же есть шанс, что я покопаюсь в нем и, возможно, обнаружу изощренное запутывание и боковое движение.

Я воспринимаю эту угрозу следующего уровня как приглашение постоянно обучаться и полагаться на средства обнаружения только как на один из многочисленных уровней безопасности, необходимый, но недостаточный.