Расследование инцидентов по матрице MITRE ATT&CK с помощью EDR

Введение

В этои статье разберем основные этапы таргетированной атаки, посмотрим на матрицу MITRE ATT&CK глазами аналитика , пройдемся по общей модели и рассмотрим методы проникновения с помощью платформы KATAP. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через четыре фазы:

Лаборатория Касперского разработала новую методику оценки, отличную от привычных способов расчета покрытия. Методика учитывает не только возможности решения по выявлению техники, но и количество правил обнаружения, реализованных в нем. Чем лучше решение выявляет конкретную технику, тем больше уровень глубины по этой технике. Ширина покрытия вычисляется по всем техникам и зависит от встроенных в решение детектирующих правил. Таким образом, можно увидеть не только факт покрытия конкретной техники, но и степень этого покрытия для выбранного решения. Подробнее на портале OpenTIP Kaspersky: https://opentip.kaspersky.com/coverage-map.map.

Далее, поэтапно рассмотрим каждый раздел матрицы, и то, как платформа KATAP помогает аналитику расследовать инциденты.

Разведка

чсчс