Расследование инцидентов по матрице MITRE ATT&CK с помощью EDR

Введение

В этои статье разберем основные этапы таргетированной атаки, посмотрим на матрицу MITRE ATT&CK глазами аналитика , пройдемся по общей модели и рассмотрим методы проникновения с помощью платформы KATAP. В экспертном сообществе сложилось представление о том, что целевая атака, как правило, в своем развитии проходит через четыре фазы:

Лаборатория Касперского разработала новую методику оценки, отличную от привычных способов расчета покрытия. Методика учитывает не только возможности решения по выявлению техники, но и количество правил обнаружения, реализованных в нем. Таким образом, можно увидеть не только факт покрытия конкретной техники, но и степень этого покрытия для выбранного решения. Подробнее на портале OpenTIP Kaspersky: https://opentip.kaspersky.com/coverage-map.

Далее, поэтапно рассмотрим каждый раздел матрицы, и то, как платформа KATAP помогает аналитику расследовать инциденты.

Разведка

Есть несклько способов разведки к которым прибегают киберпреступники:
- инсайд: фейковые собеседования, подкуп бывших сотрудников;
- открытые источники: слитые базы данных и т.д;
- социальная инженерия.

Далее, поэтапно рассмотрим каждый раздел матрицы, и то, как платформа KATAP помогает аналитику расследовать инциденты.