От
KL FC Bot
Чем раньше действия злоумышленников попадут в сферу внимания защитных решений и экспертов, тем эффективнее получится минимизировать, а то и вовсе предотвратить ущерб. Поэтому, работая над новыми правилами детектирования для нашей SIEM-системы KUMA (Kaspersky Unified Monitoring and Analysis Platform), мы уделяем особое внимание выявлению активности хакеров на самом начальном этапе атаки — то есть на этапе сбора информации о защищаемой инфраструктуре. То есть к действиям, относящимся к тактике Discovery по классификации Enterprise Matrix MITRE ATT&CK Knowledge Base.
В последнее время все чаще внимание атакующих привлекает инфраструктура контейнеризации, в которой нередко находят достаточно опасные уязвимости. Например, в нашем майском отчете об эксплойтах и уязвимостях описывается уязвимость CVE-2024-21626, эксплуатация которой позволяет совершить побег из контейнера. Поэтому в обновлении KUMA SIEM за третий квартал 2024 года среди правил для выявления нетипичного поведения, которое может свидетельствовать об активности злоумышленников на этапе первичного сбора данных, мы добавили правила детектирования, которые ловят попытки сбора данных об используемой инфраструктуре контейнеризации, а также следы различных попыток манипуляций с самой системой контейнеризации.
Сделано это было с помощью детектирующих правил R231, R433 и R434, которые уже доступны пользователям KUMA SIEM через систему обновления правил. В частности, они служат для детектирования и корреляции следующих событий:
доступ к учетным данным внутри контейнера;
запуск контейнера на неконтейнерной системе;
запуск контейнера с избыточными правами;
запуск контейнера с доступом к ресурсам хоста;
сбор информации о контейнерах с помощью стандартных инструментов;
поиск слабых мест в контейнерах с помощью стандартных инструментов;
поиск уязвимостей безопасности в контейнерах с помощью специальных утилит.
С учетом вышеописанного обновления сейчас на платформе доступно более 659 правил, из них 525 правил с непосредственно детектирующей логикой.
Мы продолжаем ориентироваться на Enterprise Matrix MITRE ATT&CK Knowledge Base, которая сегодня включает в себя 201 технику, 424 подтехники и тысячи процедур. На данный момент наше решение покрывает 344 техники и подтехники MITRE ATT&CK.
Кроме того, мы доработали множество старых правил путем исправления или корректировки условий, например, для снижения количества ложных срабатываний (false-positives).
View the full article
От Алексей Андронов
От Добрый Заазыч
От KL FC Bot
От Stillegoth
От Ser_S
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти