网络犯罪分子每天都在改进其攻击方法,开发新工具,以确保他们的行为不被防御手段所发现。
我们的专家持续监控网络攻击趋势,研究恶意软件和工具开发与销售方面的专业论坛,并分析事件调查公开报告。根据最新数据,专家定期更新 MaxPatrol SIEM 的专业知识。
已发布的更新中最重要的规则允许进行下列检测:
• 勒索软件的典型操作,如通过同一程序大量生成或修改文件。与企业基础设施节点勒索或数据清除相关的事件在 2021 至 2023 年间最为常见(根据 Positive Technologies 专家安全中心 (PT Expert Security Center) 的调查数据)。
• 先前已被检测器覆盖的黑客工具活动的其他迹象。例如,PPLBlade、Powermad、NimExec 和 SharpHound,它们仍常被应用于攻击。
• MITRE ATT&CK 框架“防检测”策略的常用技术“加载第三方 DLL 库”(恶意软件和 APT 组织利用其来渗透网络并提升权限)和“父 PID 欺骗”(攻击者通过改变进程的父进程来隐藏恶意活动)。
“勒索软件的特点是其能迅速从一个节点传播到其他节点。有了更新的检验包,MaxPatrol SIEM 用户将在第一台计算机受到勒索软件攻击时立即收到警报。通过及时清除病毒,他们将能够在早期阶段阻止攻击并迅速调查事件”,Positive Technologies 公司知识库和信息安全检验初级专家尼基塔·巴热诺夫指出。
#MaxPatrolSIEM
@Positive_Technologies