T1204 User Esecution это самый частый способ проникновения — запуск вредоносного кода самим пользователем

И в общем в базе все логично пишут коллеги

Обычно предлагается для защиты использовать бесплатные методики в Windows SRP или Applocker и в общем методика белых списков — до сих пор рабочий инструмент. Автор блога и Петр Губаревич делали вебинар на тему практического использования SRP.

Обучение сотрудников не так эффективно, как мы выяснили в разговоре со специалистом по Security Awareness Ольгой Лимоновой на интервью с ней.

Контроль скачиваемого по сети софта и исходящих от клиентов внешних подключений — эффективный метод, который реализован внутри NGFW и IPS.

Сегодня для этого есть полный комплект:
— URL фильтрация — позволяет заблокировать подключения к фишинговым и вредоносным сайтам;
— SSL расшифрование позволяет увидеть файлы и атаки внутри протокола SSL и TLS,
— потоковый антивирус, позволяет проверить и заблокировать файлы прямо в сетевом трафике для всех устройств в сети;

— песочница, активно дополняет антивирус и выявляет новые, ранее неизвестные образцы вредоносного кода;
— база IoC, которую обычно называют умным словом Threat Intelligence (TI), позволяет выявить подключения к известным центрам управления бот-сетями, криптолокерами и спам серверами;
— ML для DGA DNS запросов, дополняет TI базу, поскольку позволяет выявлять активно перемещающиеся центры управления
— контроль приложений (DPI), позволяет увидеть неожиданные подключения, которые обычно не делают сервера и даже некоторые сотрудники.

О работе NGFW и сегментации для блокировки этой угрозы и реализации многоэшелонированной защиты, также есть короткий видеоролик https://www.youtube.com/watch?v=lj3_ZE5DRgM

Ну и конечно топовыми сегодня являются поведенческие техники, обычно они сегодня реализованы на базе EDR, XDR или в SIEM.

Заходите в телеграмм канал Топ Кибербезопасности, обсудим!