?网络犯罪分子每天都在改进其攻击方法,开发新工具,以确保他们的行为不被防御手段所发现。
我们的专家持续监控网络攻击趋势,研究恶意软件和工具开发与销售方面的专业论坛,并分析事件调查公开报告。根据最新数据,专家定期更新?MaxPatrol SIEM?的专业知识。
?已发布的更新中最重要的规则允许进行下列检测:
??勒索软件的典型操作,如通过同一程序大量生成或修改文件。与企业基础设施节点勒索或数据清除相关的事件在?2021?至?2023?年间最为常见(根据?Positive Technologies?专家安全中心?(PT Expert Security Center)?的调查数据)。
??先前已被检测器覆盖的黑客工具活动的其他迹象。例如,PPLBlade、Powermad、NimExec?和?SharpHound,它们仍常被应用于攻击。
??MITRE ATT&CK?框架“防检测”策略的常用技术“加载第三方?DLL?库”(恶意软件和?APT?组织利用其来渗透网络并提升权限)和“父?PID?欺骗”(攻击者通过改变进程的父进程来隐藏恶意活动)。
“勒索软件的特点是其能迅速从一个节点传播到其他节点。有了更新的检验包,MaxPatrol SIEM?用户将在第一台计算机受到勒索软件攻击时立即收到警报。通过及时清除病毒,他们将能够在早期阶段阻止攻击并迅速调查事件”,Positive Technologies?公司知识库和信息安全检验初级专家尼基塔·巴热诺夫指出。
#MaxPatrolSIEM
@Positive_Technologies