Pull to refresh

Comments 5

"Среда виндоуз" сквозит всюду. Ну да, powershell, виндовые логи, виндовые консоли… Линукс там выглядит как что-то чужеродное (что вызывает обратную реакцию — всё вот это чужеродное и ничего родного для линуксов нет).

Да, в репозитории Sigma на данный момент не так много правил для выявления атак в Unix-подобных системах. Это видно из таблицы со статистикой и визуализаций. Но в скором времени планируется второй спринт OSCD, на котором вы, при желании, сможете применить свои знания в этой области и расширить список правил для данного класса операционных систем. Привлечение большего внимания и участников к этому мероприятию кажется нам важной задачей.

А какой практический смысл это несёт? Если атака в логах значит она уже идёт/прошла и условный криптер уже пережёвывает ваши файлы. Конечно какие нибудь кейлогеры можно поймать, но что делать с остальными?

Насколько я понимаю — сигнатуры антивируса, вид сбоку. Какой смысл делать сигнатуру для файла, который уже отработал у пользователя? Чтобы можно было распространить на другие системы, куда данный троян еще не добрался.
Тут конечно поведенческий анализ, но смысл тот же. Плюс — универсальность интеграции с внешними системами
Вы совершенно правы, для случая точечных атак, для которых запуск приложения уже является реализацией риска, такие правила малоэффективны, потому что при обнаружении факта атаки, уже не удастся избежать ущерба. Здесь нужно надеяться на средства предотвращения атаки и другие превентивные меры. Однако, в большинстве случаев, атаки намного сложнее и состоят из множества различных действий. Каждое действие можно поймать такими правилами.

Например, злоумышленники завладели узлом в DMZ и начинают проводить сетевую разведку для выбора следующей цели и продвижения по сети. Если обнаружить их на таком промежуточном этапе, то можно локализовать угрозу и избежать серьёзного ущерба.

Другим плюсом подобных проектов является наличие обширной базы знаний, накопленной разными исследователями. Так, посмотрев на то или иное правило, каждый специалист (администратор или сотрудник службы ИБ) может оценить насколько защищена его инфраструктура от подобных воздействий. Более того, такие базы знаний являются хорошими источниками гипотез при проведении Threat Hunting. Более подробно об этом мы рассказали тут: habr.com/ru/company/pt/blog/510362
Only those users with full accounts are able to leave comments. Log in, please.