Cisco рассказала об основных векторах угроз и тактиках киберпреступников

Cisco рассказала об основных векторах угроз и тактиках киберпреступников

В первой половине 2020 года бесфайловые атаки были наиболее распространенным вектором атак против предприятий.

Эксперты из компании Cisco изучили базы данных MITER ATT&CK и рассказали о векторах угроз, на которых сотрудники служб кибербезопасности предприятий должны сосредоточить свои усилия.

Как сообщили специалисты, в первой половине 2020 года бесфайловые взломы были наиболее распространенным вектором атак на предприятия. Бесфайловые атаки включают внедрение процессов, подделку реестра и использование таких вредоносов, как бесфайловый троян Kovter, внедритель кода на основе легитимных процессов Poweliks и бесфайловое вредоносное ПО Divergent.

На втором месте находятся инструменты двойного назначения, включая Metasploit, PowerShell, CobaltStrike и Powersploit. Легальные инструменты тестирования на проникновение, такие как Metasploit, приносят пользу кибербезопасности в целом, но, к сожалению, преступники могут использовать эти решения в незаконных целях.

Легитимная система аутентификации и управления учетными данными Mimikatz заняла третье место, поскольку злоумышленники начали использовать ее для хищения учетных данных.

По данным Cisco, в первой половине 2020 года вышеперечисленные векторы атак составляют примерно 75% наблюдаемых индикаторов компрометации.

Общее количество предупреждений о выполнении кода достигло 55%, поставив данную тактику на первое место. Частота обхода защитных решений упала на 12% до 45%, в то время как достижение персистентности, перемещение по сети и доступ к учетным данным выросли на 27%, 18% и 17% соответственно.

Кроме того, некоторые классификации полностью исчезли из списка или составляли менее одного процента предупреждений об индикаторах компрометации, включая начальный доступ, повышение привилегий и обнаружение, что свидетельствует о смещении фокуса, когда дело доходит до серьезных атак.

Для защиты от угроз высокого уровня Cisco рекомендует администраторам использовать групповые политики или белые списки для выполнения файлов, а если организации требуются инструменты двойного использования, следует реализовать временные политики доступа. Кроме того, также следует периодически проверять соединения между конечными точками.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!