15 травня 2023
Вразливість кібербезпеки може існувати в будь-якій даній системі, мережі або наборі кінцевих точок. Управління вразливістю (Vulnerability management) – це процес, за допомогою якого ці вразливості виявляються, оцінюються, повідомляються, управляються і зрештою усуваються. Процес управління вразливістю є одним з ключових при побудові комплексної системи інформаційної безпеки. Як правило, ІТ-інфраструктура компанії складається з десятків видів компонентів: сервера, станції користувача, мережеве обладнання, бази даних, прикладне програмне забезпечення та інше – тому підтримання необхідного рівня захисту інформації в такій системі є непростим завданням. Приоритизація ризиків та усунення вразливостей у найкоротші терміни є відмінними рисами ефективних програм управління вразливістю, які роблять це за рахунок використання інформації про загрози та розуміння ІТ та бізнес-операцій.
Ми можемо сканувати корпоративні мережі на наявність уразливостей, використовуючи програмне забезпечення систем керування вразливістю. Якщо ми виявимо вразливість під час сканування, інструменти керування вразливістю запропонують або запустять виправлення. Технології управління вразливістю сканують мережі на наявність проломів у системі безпеки та усувають їх, щоб запобігти подальшим вторгненням. Отже, шкода, яку може завдати кібератака, знижується за рахунок використання систем керування вразливістю. Своєчасні виправлення мають бути реалізовані відповідно до пріоритетів, встановлених інструментами управління вразливістю. За допомогою методичного процесу ви можете зменшити залежність від сторонніх систем виявлення вторгнень, одночасно зміцнюючи свою мережу. У цій статті Ви знайдете інструменти для ідентифікації та реалізації виявлення TTP, які використовуються суб’єктами загрози.
Двійкові файли Living off the land (LOLBins) — це законні виконувані файли Windows, які можуть використовуватися зловмисниками для здійснення зловмисних дій, не викликаючи підозр. Використання LOLBins дозволяє зловмисникам вливатися в звичайну активність системи та уникати виявлення, що робить їх популярним вибором для зловмисників. Проект LOLBAS — це відображений MITRE список LOLBINS з командами, інформацією про використання та виявлення для захисників.
Відвідайте https://lolbas-project.github.io/ .
Використовуйте інформацію для можливостей виявлення, щоб захистити свою інфраструктуру від використання LOLBIN.
GTFOBins (скорочення від «Get The F* Out Binaries») — це колекція двійкових файлів Unix, які можна використовувати для підвищення привілеїв, обходу обмежень або виконання довільних команд у системі. Вони можуть використовуватися зловмисниками для отримання несанкціонованого доступу до систем і здійснення зловмисних дій. Проект GTFOBins — це список двійкових файлів Unix із інформацією про команди та використання для зловмисників. Ця інформація може бути використана для реалізації виявлення Unix.
Відвідайте https://gtfobins.github.io/ .
Ось кілька посилань на проект, щоб почати:
Filesec — це список розширень файлів, які можуть використовувати зловмисники для фішингу, виконання, макросів тощо. Це чудовий ресурс, щоб зрозуміти випадки зловмисного використання типових розширень файлів і способи захисту від них. Кожна сторінка розширення файлу містить опис, відповідну операційну систему та рекомендації.
Відвідайте https://filesec.io/ .
Ось кілька посилань на проект, щоб почати:
KQL означає «Мова запитів Kusto», і це мова запитів, яка використовується для пошуку та фільтрації даних у журналах Azure Monitor. Він схожий на SQL, але більш оптимізований для аналізу журналів і даних часових рядів. Мова запитів KQL особливо корисна для синіх команд, оскільки вона дозволяє швидко та легко шукати великі обсяги даних журналу, щоб ідентифікувати події безпеки та аномалії, які можуть вказувати на загрозу. KQL Search — це веб-програма, створена @ugurkocde , яка об’єднує запити KQL, якими ділиться на GitHub.
Ви можете відвідати сайт за адресою https://www.kqlsearch.com/ . Додаткову інформацію про мову запитів Kusto (KQL) можна знайти тут .
Автори шкідливих програм витрачають багато часу та зусиль на розробку складного коду для виконання шкідливих дій проти цільової системи. Дуже важливо, щоб зловмисне програмне забезпечення залишалося непоміченим і уникало аналізу пісочниці, антивірусів або аналітиків зловмисного програмного забезпечення. Завдяки такій техніці зловмисне програмне забезпечення може пройти поза радаром і залишитися непоміченим у системі. Ціль цієї безкоштовної бази даних — централізувати інформацію про методи уникнення зловмисного програмного забезпечення. Проект має на меті надати аналітикам і захисникам зловмисного програмного забезпечення практичну інформацію та можливості виявлення, щоб скоротити час відповіді.
Проект можна знайти на сайті https://unprotect.it/ . Проект має API-документи тут .
Chainsaw надає потужну можливість «першого реагування» для швидкого виявлення загроз у криміналістичних артефактах Windows, таких як журнали подій і MFT. Chainsaw пропонує загальний і швидкий метод пошуку в журналах подій за ключовими словами та визначення загроз за допомогою вбудованої підтримки правил виявлення Sigma та спеціальних правил виявлення Chainsaw.
Oсобливості:
Зловмисники намагаються обійти методи на основі підпису/зіставлення шаблонів/чорного списку, вводячи випадкові: імена файлів, імена служб, імена робочих станцій, домени, імена хостів, суб’єкти сертифікатів SSL та суб’єкти видавців тощо. Freq — це API Python, розроблений Марком Баггеттом для обробки масового тестування ентропії. Його розроблено для використання разом із рішеннями SIEM, але він може працювати з усім, що може надіслати веб-запит. Інструмент використовує частотні таблиці, які показують, наскільки ймовірно один символ слідуватиме за іншим
yarGen — це генератор правил YARA. Основним принципом є створення правил yara з рядків, знайдених у файлах зловмисного програмного забезпечення, з одночасним видаленням усіх рядків, які також з’являються у файлах хорошого програмного забезпечення.
Таким чином, yarGen включає великі рядки хорошого програмного забезпечення та базу даних кодів операцій у вигляді ZIP-архівів, які потрібно розпакувати перед першим використанням. Процес створення правила також намагається визначити подібність між файлами, які аналізуються, а потім об’єднує рядки в так звані суперправила. Генерація надправила не видаляє просте правило для файлів, об’єднаних в одне надправило. Це означає, що під час створення надправил є певна надмірність. Ви можете придушити просте правило для файлу, який уже охоплено суперправилом, використовуючи –nosimple.
Завантажте останню версію .
Приклади використання можна знайти тут .
За допомогою EmailAnalyzer ви можете аналізувати підозрілі електронні листи. Ви можете витягти заголовки, посилання та хеші з файлу .eml
VCG — це автоматизований інструмент перевірки безпеки коду, який працює з C/C++, Java, C#, VB і PL/SQL. У нього є кілька функцій, які, сподіваємось, стануть у нагоді всім, хто проводить перевірку безпеки коду, особливо там, де час обмежений:
