Определение наличия позывных
Многим организациям бывает сложно даже определить, кто из пользователей удалил файл с общего сетевого диска, не говоря уже об обнаружении скрытых позывных, спрятанных внутри удаленных частей системы. Но это не отменяет того, что защитникам придется столкнуться с угрозами, которые сообщаются друг с другом прямо внутри атакованной среды. Чтобы поймать злоумышленников, защитникам потребуется освоить новые навыки, необходимо будет также внедрить инструменты обнаружения и обеспечить видимость хоста.
1. Реализуйте расширенный мониторинг памяти. Определите в своей сети важные системы, которые, по вашему мнению, злоумышленник выберет в качестве основной или промежуточной цели. Затем изучите возможности организации по отслеживанию и ограничению изменений памяти в этих системах. Рассмотрите имеющиеся на рынке продукты и услуги. Оцените усилия и время, которые потребуются для исследования источника изменений памяти. Наконец, определите, можете ли вы с уверенностью определить, что те или иные изменения являются признаком атаки.
2. Обучите сотрудников. Научите службу безопасности, охотников на угрозы и ИT-отдел не игнорировать непонятные ситуации, а рассматривать необычные объекты в памяти как потенциальные индикаторы атаки, особенно на важных объектах вашей инфраструктуры.
