🙂 Кибератаки «в законе», или Что делать, если хакеры используют легитимные инструменты Эксперты PT ESC рассказывают, что такие случаи не редкость. Так, злоумышленники пытаются скрыть свою деятельность и остаться незаметными для некоторых средств защиты. Например, антивирус может либо не задетектировать атаку, либо назвать легитимный инструмент, который используется для взлома, «нежелательным ПО», увеличив время реакции оператора SOC и дав больше времени нарушителям. Примеры «законных» инструментов, задействованных в кибератаках, показали в карточках, а у коллег из PT ESC спросили, как распознать их применение и вовремя остановить хакеров. 🔎 Чтобы обнаруживать и останавливать такие кибератаки, нужен комплексный подход, включающий анализ поведения приложений и сетевой активности, отмечают эксперты. 🌐 🔥 Системы класса NTA/NDR и межсетевые экраны нового поколения (к примеру, PT NAD (https://vk.cc/cMV7QB) и PT NGFW (https://vk.cc/cMV7VH)) способны обнаруживать и блокировать не только хакерские инструменты, но и подозрительные сценарии применения легитимного ПО. В их числе создание скрытых туннелей через различные сервисы туннелирования (Localtonet, Microsoft dev tunnels и др.) и удаленное выполнение команд с использованием PsExec. ⌛️ Песочницы, такие как PT Sandbox (https://vk.cc/cMV7Ld), эффективно выявляют вредоносные программы, в том числе замаскированные с помощью упаковщиков типа UPX. 🖥 Для полноценной защиты также рекомендуется применять антивирусы и EDR-решения, например MaxPatrol EDR (https://vk.cc/cMV7NZ), которые помогают оперативно выявлять и блокировать подозрительные действия уже на конечных устройствах. #PositiveЭксперты #PositiveTechnologies