- Tiedostoton haittaohjelma toimii muistissa ja väärinkäyttää laillisia työkaluja, kuten PowerShelliä tai WMI:tä.
- Se voi varastaa tietoja, salata tiedostoja tai vakoilla tietokoneita jättämättä näkyviä jälkiä levylle.
- Tehokas havaitseminen edellyttää toiminnan ja prosessien, ei pelkästään tiedostojen, valvontaa.
- Puolustaminen vaatii EDR:ää, segmentointia, korjauspäivityksiä sekä skriptien ja makroiden käytön vähentämistä.
Viime vuosina tiedostoton haittaohjelma Tiedostottomista haittaohjelmista on tullut yksi IT- ja tietoturvatiimien vakavimmista ongelmista. Emme puhu tyypillisestä viruksesta, jonka lataat liitteenä ja joka voidaan poistaa virustorjuntaohjelmalla, vaan jostain paljon salakavalammasta, joka piileskelee järjestelmän omissa prosesseissa.
Tämän tyyppinen uhka hyödyntää lailliset käyttöjärjestelmätyökalutErityisesti Windowsissa se voi suorittaa haitallista koodia suoraan RAM-muistiin. Koska se ei jätä juurikaan jälkiä levylle, se voi kiertää monia perinteisiä virustorjuntaohjelmia ja pysyä aktiivisena riittävän kauan varastaakseen tietoja, salatakseen tiedostoja tai ylläpitääkseen takaportteja havaitsematta.
Mitä tarkalleen ottaen on tiedostoton haittaohjelma?
Kun puhumme tiedostottomista haittaohjelmista, viittaamme haitallista koodia, joka ei ole riippuvainen levyllä olevasta klassisesta suoritettavasta tiedostosta toimiakseen. Sen sijaan, että se asennettaisiin kuten mikä tahansa muu ohjelma, se käyttää järjestelmässä jo olevia komponentteja (skriptejä, palveluita, komentotulkkeja jne.) ladatakseen ja suorittaakseen käskynsä suoraan muistissa.
Teknisestä näkökulmasta tämä haittaohjelma yleensä injektoitavaksi jo käynnissä oleviin prosesseihin tai ne voidaan käynnistää komennoilla, jotka lataavat kaiken RAM-muistiin. Tämä tarkoittaa, että kun tietokone sammutetaan tai käynnistetään uudelleen, monet variantit katoavat, mutta sillä välin niillä on runsaasti aikaa aiheuttaa vakavaa vahinkoa.
Tiedostopohjaisiin haittaohjelmiin verrattuna nämä uhat ovat kevyempi, huomaamattomampi ja paljon vaikeampi seurataEt löydä levyltä epäilyttävää .exe-tiedostoa etkä välttämättä haitallista asennusohjelmaa: ongelma on siinä, mitä tapahtuu prosesseissa, jotka vaikuttavat luotettavilta.
Tämän lähestymistavan nousu räjähti räjähdysmäisesti vuoden 2017 tienoilla, kun kampanjoissa alettiin yhdistää tiedostottomia tekniikoita klikkeritroijalaiset, edistyneet mainosohjelmat ja etäkäyttötyökalut (RAT)Nykyään ne on integroitu kaikenlaisiin operaatioihin: vakoilusta ja APT:istä kiristysohjelmiin ja kryptolouhintaan.
Kuinka tiedostoton haittaohjelma toimii sisäisesti
Ymmärtääksesi, miten se toimii, on syytä muistaa, että useimmat normaalit sovellukset jaetaan tiedosto, joka kirjoitetaan levylle ja ladataan sitten muistiin kun käyttäjä suorittaa sen. Tiedostoton haittaohjelma puolestaan ohittaa ensimmäisen vaiheen ja materialisoituu suoraan RAM-muistiin käyttöjärjestelmän itsensä mekanismeja käyttäen.
Monet kampanjat perustuvat ajatukseen "elämisestä maan omilla varoilla" (asuminen maasta): hyökkääjä väärinkäyttää laillisia hallintovaltuuksia uusien binääritiedostojen käyttöönoton sijaan. Windowsissa ensisijainen esimerkki on PowerShell, mutta myös WMI-, mshta-, rundll32-, VBScript- tai JScript-skriptejä ja muita luotettuja binaareja (LoLBins) hyödynnetään.
Tyypillinen tilanne olisi seuraava: käyttäjä avaa haitallista sisältöä sisältävän Office-asiakirjan tai napsauttaa tietojenkalastelulinkkiä; sieltä komentosarja, joka käynnistää PowerShellin tai jokin muu työkalu seuraavan vaiheen koodin lataamiseen, salauksen purkamiseen tai syöttämiseen muistiin. Kaikki tämä voi tapahtua ilman pysyvän tiedoston luomista kiintolevylle.
Toinen yleinen vektori on hyödyntää etäkoodin suorittamisen haavoittuvuudet, kuten puskurin ylivuotoja selaimissa, laajennuksissa tai palvelinsovelluksissa. Hyödyntämällä haavoittuvuutta hyökkääjä voi suorittaa komentotulkkikoodia suoraan haavoittuvan prosessin sisällä ja ladata sieltä loput komponentit muistiin.
Joissakin muunnelmissa jopa turvaudutaan Windowsin rekisteri tai ajoitetut tehtävät tallentaa komentosarjoja tai komentoja, jotka aktivoivat hyökkäyksen uudelleen järjestelmän käynnistyessä tai käyttäjän kirjautuessa sisään. Vaikka rekisteriin kirjoitettaisiin jotain, pääasiallinen haitallinen logiikka jatkaa suorittamista muistissa, mikä vaikeuttaa sen havaitsemista pelkästään tiedostojärjestelmään keskittyvillä työkaluilla.
Tartuntatavat ja alkuperäinen pääsy
Etuovi on yleensä melko klassinen: tietojenkalastelusähköpostit, haitalliset linkit ja väärennetyt asiakirjat Ne pysyvät alkuperäisen käytön kuninkaina, vaikka tiedostottomia tekniikoita käytetäänkin alla. Temppu on siinä, että koko ketjun ajan pyritään minimoimaan mahdollinen levytilan käyttötarve.
Monissa tapauksissa niitä käytetään Microsoft Office -asiakirjat, joissa on makroja Aktivoituna nämä makrot kutsuvat PowerShelliä tai WMI:tä lataamaan ja suorittamaan hyökkäyksen seuraavan vaiheen muistissa. Jopa ilman makroja hyökkääjät voivat hyödyntää haavoittuvuuksia Wordissa, Excelissä, PDF -lukijat tai itse skriptimoottori koodin suorittamiseksi.
Toinen lähestymistapa on suoraan vipuvaikutus näennäisesti harmittomat suoritettavat tiedostot jonka käyttäjä saa sähköpostitse tai lataa verkosta. Tämä suoritettava tiedosto voi purkaa haitallisen moduulin ja ladata sen muistiin käyttämällä tekniikoita, kuten .NET:n heijastusta, tallentamatta sitä levylle erillisenä tiedostona.
On myös kampanjoita, jotka kohdistuvat internetin yhteyteen altistuviin verkkopalvelimiin tai sovelluksiin, joissa haavoittuvuutta käytetään hyväksi tiedostottomilla komponenteilla varustetut web-kuoretTuore esimerkki on Godzillan ja vastaavien työkalujen käyttö, joissa haitallinen koodi kulkee HTTP-pyyntöjen mukana ja ruiskutetaan suoraan vaarantuneen palvelimen muistiin.
Lopuksi hyökkääjät turvautuvat usein ns. varastetut tunnistetiedotJos he saavat haltuunsa järjestelmänvalvojan tai etuoikeutetun tilin käyttäjätunnuksen ja salasanan, he voivat kirjautua sisään RDP:n tai muiden kanavien kautta ja käynnistää manuaalisesti PowerShell-skriptejä, WMI-komentoja tai hallintatyökaluja, jotka lataavat haittaohjelman muistiin jättämättä uusia suoritettavia tiedostoja järjestelmään.
Tiedostottoman haittaohjelman käyttämät erityistekniikat
Yksi näiden hyökkäysten avaimista on uudelleenkäyttö alkuperäiset Windows-työkalut skriptien välineenä. Tämä saa haitallisen toiminnan sulautumaan normaaleihin hallinnollisiin tehtäviin, mikä vaikeuttaa analysointia ja reagointia.
Yleisimpien tekniikoiden joukossa löydämme ns. PowerShell upotettuna koodinkäynnistimenä suoraan komentoriviltä. Esimerkiksi obfuskoitu komentosarja annetaan parametrina, suorituskäytäntö poistetaan käytöstä, ikkuna piilotetaan ja hyötykuorma ladataan suoraan muistiin, kaikki tämä jättämättä .ps1-tiedostoa tai epäilyttävää suoritettavaa tiedostoa näkyviin.
Toinen erittäin suosittu taktiikka on tallentaa haitallisia skriptejä Windows Management Instrumentation (WMI) -tilauksetWMI käynnistää silloin tällöin komentosarjan, joka voi suorittaa koodia muistista, muodostaa yhteyden komento- ja ohjauspalvelimiin tai käynnistää tartunnan uusia vaiheita.
Samoin monet ryhmät käyttävät ns. Windowsin rekisteri ja tehtävien ajoitus suojana skripteilleen ja komennoilleen. Sen sijaan, että he sijoittaisivat suoritettavan tiedoston käynnistyskansioon, he määrittelevät käynnistysavaimia tai ajoitettuja tehtäviä, jotka suorittavat PowerShell-, mshta- tai rundll32-skriptejä upotetulla tai lennossa olevalla koodilla.
Tekniikoita nähdään myös mm. heijastus .NETissäjossa kevyt suoritettava tiedosto sisältää salattuja tai pakattuja kokoonpanoja, jotka ladataan suoraan muistiin Reflection.Load-komennolla ilman, että niitä koskaan kirjoitetaan .dll-tiedostoina levylle. Tämä mahdollistaa erittäin kehittyneiden troijalaisten käyttöönoton yhden, näennäisesti normaalin prosessin aikana.
Mitä tiedostoton hyökkäys voi tehdä?
Nimestään huolimatta tiedostottoman hyökkäyksen vaikutus ei ole rajallinen. Itse asiassa se voi suorittaa samat toiminnot kuin perinteisellä haittaohjelmallatietovarkaus, tietojen salaus, sivuttaisliike, vakoilu, kryptovaluutan louhinta tai pysyvien takaovien asentaminen.
Monet tiedostottomat kampanjat toimivat kuten valtakirjavarasTämä tarkoittaa salasanojen, istuntotunnusten tai todennushajautusten tallentamista arkaluonteisten prosessien muistista. Tämä helpottaa oikeuksien laajentamista, useampien järjestelmien vaarantamista ja pitkäaikaisen käyttöoikeuden ylläpitämistä ilman lisäbinääritiedostojen käyttöä.
Toiset keskittyvät tiedostoton kiristysohjelmajossa osa salaus- ja tietoliikennelogiikasta suoritetaan suoraan muistissa. Vaikka levykomponentti saattaa jossain vaiheessa näyttää manipuloivan suurta määrää tiedostoja, hyökkäyksen alkulataus ja hallinta tehdään tiedostottomilla tekniikoilla varhaisen havaitsemisen välttämiseksi.
Hyökkääjät voivat myös asentaa rootkit-ohjelmat tai edistyneet RAT-ohjelmat Kun nämä työkalut on kerran perustettu, ne käyttävät tiedostottomia kanavia komentojen vastaanottamiseen, verkon yli liikkumiseen ja moduulien päivittämiseen. Koska ne on integroitu järjestelmäprosesseihin tai kriittisiin palveluihin, näitä työkaluja on erityisen vaikea hävittää.
Taloudellisella tasolla vaikutukset näkyvät mm. tietojen menetys, palvelukatkokset, viranomaissakot ja mainevahinkoKoska nämä tunkeutumiset jäävät usein huomaamatta kuukausiin, vuotaneen tiedon määrä ja tietomurron laajuus voivat olla valtavat.
Tiedostottoman haittaohjelmahyökkäyksen vaiheet
Vaikka tekniset näkökohdat ovat erilaisia, tiedostottoman hyökkäyksen elinkaari on melko samanlainen kuin minkä tahansa edistyneen tunkeutumisen. Mitä muutoksia on kussakin vaiheessa käytetyt mekanismit ja tapa, jolla ne naamioivat itsensä.
Vaiheessa alkupääsyHyökkääjä tarvitsee aluksi jalansijan: napsautuksen tietojenkalastelulinkissä, makroja sisältävän asiakirjan avaamisen, haavoittuvan palvelimen hyväksikäytön tai vaarantuneiden tunnistetietojen uudelleenkäytön. Siitä eteenpäin tavoitteena on suorittaa koodia kohdejärjestelmässä.
Kun tämä vaihe on saavutettu, seuraava vaihe alkaa suoritus muistissaTässä kohtaa PowerShell, WMI, mshta, rundll32, VBScript, JScript tai muut tulkit tulevat mukaan kuvaan lataamaan ja aktivoimaan hyötykuorman luomatta pysyviä suoritettavia tiedostoja levylle. Koodi tyypillisesti obfuskoidaan tai salataan ja sen salaus puretaan vain RAM-muistissa.
Sitten takaa-ajo alkaa sitkeysVaikka monet tiedostottomat hyötykuormat katoavat tietokoneen uudelleenkäynnistyksen yhteydessä, hienostuneet hyökkääjät yhdistävät RAM-muistissa olevia komentosarjoja rekisteriavaimiin, ajoitettuihin tehtäviin tai WMI-tilauksiin, jotka käynnistävät koodin uudelleen aina, kun tietty ehto täyttyy, kuten järjestelmän käynnistyksen tai käyttäjän kirjautumisen yhteydessä.
Lopuksi, lopulliset tavoitteet Hyökkääjän toimiin kuuluvat: tietojen varastamine ja vuotaminen, tietojen salaaminen, uusien haittaohjelmien asentaminen, jatkuva vakoilu ja kriittisten järjestelmien sabotointi. Kaikki tämä tehdään samalla kun pyritään pitämään profiili mahdollisimman alhaisena välttääkseen varhaiset hälytykset ja rikostekniset analyysit.
Miksi sitä on niin vaikea havaita?
Tiedostottoman haittaohjelman suurin ongelma on se, että Se rikkoo klassisen tiedostoihin ja allekirjoituksiin perustuvan puolustusmallinJos analysoitavaa epäilyttävää suoritettavaa tiedostoa ei ole, monet virustorjuntaohjelmat eivät huomaa, mitä muistissa ja laillisissa prosesseissa tapahtuu.
Tiedostojen puuttuminen levyltä tarkoittaa, että Ei ole kohteita, joita skannata säännöllisesti tunnettujen toimintamallien etsimiseksi. Lisäksi hyödyntämällä käyttöjärjestelmän itsensä allekirjoittamia binääritiedostoja, kuten PowerShell.exe, wscript.exe tai rundll32.exe, haitallinen toiminta naamioidaan nimien taakse, joihin järjestelmänvalvoja normaalisti luottaa.
Lisäksi monilla perinnöllisillä tuotteilla on Rajoitettu näkyvyys käynnissä oleviin prosesseihinNe keskittyvät tiedostojärjestelmään ja verkkoliikenteeseen, mutta tuskin tarkastavat sisäisiä API-kutsuja, komentoriviparametreja, komentosarjojen toimintaa tai rekisteritapahtumia, jotka saattaisivat paljastaa tiedostottoman hyökkäyksen.
Hyökkääjät, tietoisina näistä rajoituksista, turvautuvat hämärrys-, salaus- ja koodin fragmentointitekniikatNe esimerkiksi jakavat haitallisen komentosarjan useisiin osiin, jotka kootaan reaaliajassa, tai piilottavat ohjeita kuvien, upotettujen resurssien tai näennäisesti harmittomien merkkijonojen sisään.
Ympäristöissä, joissa järjestelmiä käynnistetään uudelleen harvoin (kriittiset palvelimet, tuotantopäätteet jne.), muistissa olevat haittaohjelmat voivat pysyä aktiivisena viikkoja tai kuukausia huomaamatta, varsinkin jos liikut varovasti ja minimoit liikenteen tai huomiota herättävät liikkeet.
Perinteisten puolustusmenetelmien rajoitukset
Monien palveluntarjoajien alkuperäinen reaktio tähän uhkaan on ollut yrittää rajoittaa tai estää suoraan työkaluja, kuten PowerShelliä tai Office-makrojaVaikka se voi vähentää joitakin vektoreita, se ei ole realistinen tai täydellinen ratkaisu useimmissa organisaatioissa.
PowerShellistä on tullut keskeinen osa Windows-järjestelmänhallintaaTehtävien automatisointi, ohjelmistojen käyttöönotto ja palvelimien hallinta. Sen täydellinen estäminen lamauttaisi IT-työnkulut ja pakottaisi lukuisten sisäisten prosessien uudelleen suorittamisen.
Lisäksi hyökkääjän näkökulmasta on useita tapoja kiertämällä yksinkertaisen estokäytännönPowerShell-moottorin voi ladata kirjastoista (dll) rundll32:n avulla, muuntaa skriptejä suoritettaviksi tiedostoiksi työkaluilla, kuten PS2EXE, käyttää PowerShell.exe:n muokattuja kopioita tai jopa upottaa PowerShell-skriptejä PNG-kuviin ja suorittaa niitä hämärretyillä komentoriveillä.
Jotain vastaavaa tapahtuu Office-makrojen kanssa: Monet yritykset ovat niistä riippuvaisia raporttien, laskelmien ja liiketoimintaprosessien automatisoimiseksi. Niiden poistaminen käytöstä globaalisti voi rikkoa sisäisiä sovelluksia, kun taas pelkästään VBA-koodin staattiseen analyysiin luottaminen johtaa usein vaikeasti hallittavaan väärien positiivisten ja väärien negatiivisten tulosten määrään.
Lisäksi jotkin lähestymistavat perustuvat pilvipohjainen tunnistus palveluna Ne vaativat jatkuvaa yhteyttä ja toimivat joskus liian suurella viiveellä estääkseen haittaohjelman alkusuorituksen. Jos estopäätös tehdään sekunteja tai minuutteja myöhemmin, vahinko voi olla jo tapahtunut.
Painopiste siirtyy: tiedostoista käyttäytymiseen
Koska tiedosto ei ole enää pääelementti, nykyaikaiset puolustusratkaisut keskittyvät seurata prosessien toimintaa sen sijaan, että vain tutkittaisiin tiedostojen sisältöä. Ajatuksena on, että vaikka haittaohjelmavariantteja on tuhansia, haitallisen toiminnan mallit ovat paljon vähemmän monimuotoisia.
Tämä lähestymistapa perustuu moottoreihin käyttäytymisanalyysi ja koneoppiminen jotka jatkuvasti valvovat kunkin prosessin toimintaa: mitä komentoja se käynnistää, mitä järjestelmäresursseja se käyttää, miten se kommunikoi ulkomaailman kanssa ja mitä muutoksia se yrittää tehdä ympäristössä.
Esimerkiksi Office-prosessi voidaan merkitä epäilyttäväksi, jos suorittaa hämärretyn PowerShell-komennon parametreilla, joilla voidaan poistaa käytöstä suojauskäytännöt ja ladata koodia epäilyttävältä verkkotunnukselta. Tai prosessi, joka ilman näkyvää syytä yhtäkkiä käyttää satoja arkaluonteisia tiedostoja tai muokkaa kriittisiä rekisteriavaimia.
Uusimman sukupolven EDR-järjestelmät ja XDR-alustat keräävät yksityiskohtainen telemetria päätepisteistä, palvelimista ja verkostaja pystyvät rekonstruoimaan kokonaisia tarinoita (joskus kutsutaan tarinalinjoiksi) siitä, miten tapahtuma sai alkunsa, mitä prosesseja siihen liittyi ja mitä muutoksia kyseinen kone koki.
Hyvä käyttäytymismoottori ei ainoastaan havaitse uhkaa, vaan voi myös lieventää tai peruuttaa automaattisesti haitallisia toimia: lopeta asiaan liittyvät prosessit, eristä tietokone, palauta salatut tiedostot, kumoa rekisteriin tehdyt muutokset ja katkaise tietoliikenne komento- ja ohjausdomeeneihin.
Teknologiat ja keskeisten tapahtumien lähteet Windowsissa
Tiedostottomia uhkia Windowsissa analysoitaessa on erityisen hyödyllistä hyödyntää natiivit käyttöjärjestelmän telemetriamekanismit, jotka ovat jo olemassa ja tarjoavat paljon tietoa kulissien takana tapahtuvasta.
Toisaalta on Event Tracing for Windows (ETW)ETW on kehys, joka mahdollistaa prosessien suoritukseen, API-kutsuihin, muistin käyttöön ja muihin sisäisiin järjestelmän osa-alueisiin liittyvien erittäin yksityiskohtaisten tapahtumien tallentamisen. Monet EDR-ratkaisut käyttävät ETW:tä epätyypillisen käyttäytymisen havaitsemiseen reaaliajassa.
Toinen keskeinen osa on Antimalware Scan Interface (AMSI)AMSI on Microsoftin suunnittelema API, jonka avulla tietoturvamoottorit voivat tarkastaa skriptejä ja dynaamista sisältöä juuri ennen niiden suorittamista, vaikka ne olisivatkin obfusoituja. AMSI on erityisen hyödyllinen PowerShellin, VBScriptin, JScriptin ja muiden skriptikielten kanssa.
Lisäksi nykyaikaisia moottoreita analysoidaan säännöllisesti arkaluontoiset alueet, kuten rekisteri, tehtävien ajoitus, WMI-tilaukset tai komentosarjojen suorituskäytännötEpäilyttävät muutokset näillä alueilla ovat usein merkki siitä, että tiedostoton hyökkäys on vakiintunut pysyväksi.
Kaikkea tätä täydentävät heuristiikkamenetelmät, jotka ottavat huomioon paitsi nykyisen prosessin myös suorituskonteksti: mistä pääprosessi tulee, mitä verkkotoimintaa on havaittu ennen ja jälkeen, onko esiintynyt outoja häiriöitä, poikkeavia tukoksia tai muita signaaleja, jotka yhdessä herättävät epäilyksiä.
Käytännön havaitsemis- ja ehkäisystrategiat
Käytännössä näiltä uhilta suojautuminen edellyttää yhdistämällä teknologia, prosessit ja koulutusEi riitä, että asentaa virustorjuntaohjelman ja unohtaa sen; tarvitaan monitasoinen strategia, joka on mukautettu tiedostottoman haittaohjelman todelliseen käyttäytymiseen.
Teknisellä tasolla on tärkeää ottaa käyttöön EDR- tai XDR-ratkaisut käyttäytymisanalyysiominaisuuksilla ja prosessitason näkyvyydellä. Näiden työkalujen on kyettävä tallentamaan ja korreloimaan toimintaa reaaliajassa, estämään poikkeavaa käyttäytymistä ja tarjoamaan selkeää rikosteknistä tietoa tietoturvatiimille.
Se on myös kätevä PowerShellin, WMI:n ja muiden tulkkien käytön rajoittaminen siihen, mikä on ehdottoman välttämätöntä, soveltamalla käyttöoikeuslistoja, komentosarjojen allekirjoitusta (Code Signing) ja suorituskäytäntöjä, jotka rajoittavat, mitä koodia voi suorittaa ja millä oikeuksilla.
Käyttäjäpuolella koulutus on edelleen ratkaisevan tärkeää: on tarpeen vahvistaa tietoinen tietojenkalasteluista, epäilyttävistä linkeistä ja odottamattomista asiakirjoistaTämä on erityisen tärkeää henkilöstön keskuudessa, jolla on pääsy arkaluonteisiin tietoihin tai korkean tason käyttöoikeudet. Huolimattomien klikkausten määrän vähentäminen pienentää merkittävästi hyökkäyspinta-alaa.
Lopuksi ei voi unohtaa, korjauspäivitysten ja ohjelmistojen päivityssykliMonet tiedostottomat ketjut alkavat hyödyntämällä tunnettuja haavoittuvuuksia, joihin on jo olemassa korjauksia. Selainten, lisäosien, yrityssovellusten ja käyttöjärjestelmien pitäminen ajan tasalla sulkee arvokkaita ovia hyökkääjiltä.
Hallitut palvelut ja uhkien metsästys
Keskikokoisissa ja suurissa organisaatioissa, joissa tapahtumien määrä on valtava, sisäisen tiimin on vaikea nähdä kaikkea. Siksi niiden suosio kasvaa. valvonta- ja hallitut vastepalvelut (MDR/EMDR) ja ulkoiset turvallisuusoperaatiokeskukset (SOC).
Nämä palvelut yhdistävät edistynyttä teknologiaa analyytikkotiimit valvovat 24/7 asiakkaidensa ympäristöissä ja korreloi heikkoja signaaleja, jotka muuten jäisivät huomaamatta. Ajatuksena on havaita tiedostottomille haittaohjelmille tyypillinen toiminta ennen vahinkojen syntymistä.
Monet SOC:t perustuvat kehyksiin, kuten MITER ATT & CK luetteloida vastustajien taktiikat, tekniikat ja menettelytavat (TTP) ja rakentaa erityisiä sääntöjä, jotka on suunnattu muistissa tapahtuvaan suorittamiseen, LoLBins-väärinkäyttöön, haitalliseen WMI:hin tai piilotettuihin tiedonsiirtomalleihin.
Jatkuvan seurannan lisäksi näihin palveluihin kuuluvat tyypillisesti rikostekninen analyysi, tapahtumiin reagointi ja konsultointi parantaakseen tietoturva-arkkitehtuuria, korjatakseen toistuvia aukkoja ja vahvistaakseen päätepisteiden ja palvelimien valvontaa.
Monille yrityksille tämän toiminnon ulkoistaminen on toimivin tapa pysyä ajan tasalla tällaisten monimutkaisten uhkien kanssa, koska kaikilla ei ole varaa sisäiseen tiimiin, joka on erikoistunut edistyneiden haittaohjelmien metsästykseen.
Todellisuudessa tiedostoton haittaohjelma on muuttanut pysyvästi tapaamme ymmärtää päätepisteiden tietoturvaa: Tiedostot eivät ole enää ainoa keskeinen indikaattoriJa vain syvällisen näkyvyyden, käyttäytymisanalyysin, hyvien johtamiskäytäntöjen ja laajan kyberturvallisuuskulttuurin yhdistelmä voi pitää sen loitolla päivittäin.
