MITRE ATT&CK框架是一个全球可访问的精选知识数据库，其中包含基于真实世界观察的已知网络攻击技术和策略。持久性是攻击者用来访问系统的众多网络攻击技术之一;在获得初始访问权限后，他们继续在很长一段时间内保持立足点，以窃取数据、修改系统设置或执行其他恶意活动。通过及时检测和缓解持久性攻击，企业可以减少攻击面并防止潜在的数据泄露。

MITRE ATT&CK 中使用的持久性技术列表是什么

MITRE ATT&CK提供了攻击者使用的持久性技术的广泛列表。其中一些技术包括：

• 帐户操作
• BITS职位
• 启动或登录自动启动执行
• 引导或登录初始化脚本
• 浏览器扩展
• 泄露客户端软件二进制文件
• 创建账户
• 创建或修改系统进程
• 事件触发的执行
• 外部远程服务
• 劫持执行流程
• 植入物内部图像
• 修改身份验证过程
• Office 应用程序启动
• 操作系统前启动
• 计划任务/作业
• 服务器软件组件
• 交通信号
• 有效帐户

可以使用哪些方法来维护目标主机的持久性

• **后门：**攻击者使用网络钓鱼攻击或其他社会工程策略来安装后门，使他们能够远程访问系统，即使在最初的违规行为得到修复之后也是如此。
• **Rootkit：**攻击者使用 rootkit（一种恶意软件程序）来隐藏其在主机中的存在，以保持持久性。
• **计划任务：**网络攻击者创建在特定时间或间隔自动运行的计划任务，以执行恶意软件或保持对系统的访问。
• **注册表项：**网络犯罪分子可能会添加或修改 Windows 注册表项，以便在系统启动时自动执行恶意软件。
• **恶意服务：**威胁参与者可以开发在后台运行的恶意服务，并为他们提供对被黑客入侵系统的持续访问。
• **无文件恶意软件：**攻击者使用这种类型的恶意软件在目标计算机中保持持久性。由于无文件恶意软件完全在内存中运行，并且不会在硬盘驱动器上创建文件，因此很难检测和删除。

缓解持久性攻击的最佳实践是什么

缓解持久性攻击的一些最佳实践包括：

• 使您的软件保持最新状态
• 监控系统日志
• 限制用户权限
• 使用强密码和双因素身份验证
• 实施入侵检测和防御系统
• 定期进行安全审计

检测和阻止持久性攻击工具

Log360 是一款功能强大的SIEM 解决方案，集成了DLP和CASB功能，可帮助您轻松检测和阻止持久性攻击。

• 实时事件关联
• 高级威胁搜寻
• 用户实体行为分析（UEBA）
• 安全分析仪表板
• 警报配置文件
• 自动化事件响应工作流

实时事件关联

根据入侵指标收集、分析和发现整个网络日志中的可疑威胁。Log360 的开箱即用关联规则与 ATT&CK 数据库相关联，有助于跟踪攻击者的移动，例如重复登录尝试、异常帐户活动、计划任务、注册表项更改和数据泄露模式。Log360 检测安全威胁并提供详细的事件时间表，包括来源、事件时间、设备类型、严重性等。

高级威胁搜寻

高级威胁分析功能可帮助您检测入侵迹象，包括意外的网络流量、异常的系统活动、未经授权的用户帐户以及网络中的恶意活动。Log360 为您提供了事件期间发生的情况及其发生方式的完整视图。此外，该解决方案还可以访问 STIX/TAXII 等国际威胁源以及恶意的黑名单 IP、URL 和域。如果恶意 IP 地址试图与您的网络建立远程通信，Log360 会快速发现并阻止它，通过将其与网络活动的历史模式进行比较来保护您网络的敏感数据。

用户实体行为分析（UEBA）

利用基于 ML 的 UEBA 技术来分析组织网络中的用户行为。Log360 映射不同的用户帐户和相关标识符，以构建用户行为的综合基线。当用户执行任何偏离基线的活动时，解决方案会将其视为异常，并根据严重性分配风险评分。Log360 的主要功能之一是行为分析，它可以帮助您识别表明恶意活动的模式。Log360 根据时间、计数和异常模式识别这种异常用户行为，并帮助发现内部威胁、数据泄露尝试、权限提升和帐户泄露。

安全分析仪表板

安全分析仪表板提供了对 12 种 ATT&CK 策略及其相应技术的整体可见性。分析驱动的安全方法让您充分了解需要立即关注以进行深入调查的高安全威胁。简化了从各种网络设备、端点和安全事件收集和分析日志数据的过程，所有这些都在单个控制台中完成。通过直观的图表和广泛的报告，您可以毫不费力地识别可疑活动，例如帐户操纵、BITSAdmin 下载、启动或自动启动登录执行、事件触发的执行、可疑的服务器路径修改、被劫持的执行流程或潜在的勒索软件。

警报配置文件

SOAR 功能会在系统识别出与持久性攻击相关的关联匹配或异常时发送即时警报以通知安全管理员。例如，当用户突然开始访问异常文件或更改系统设置时，会发送即时警报。这些警报提供可操作的信息，包括有关可疑活动、受影响系统和建议的响应操作的详细信息。还可以将不同的技术和策略警报分组到单个逻辑事件中，以便进行有组织的调查。

自动化事件响应工作流

Log360 的入侵检测系统可防止对手逃避您的安全控制。如果解决方案检测到任何可疑活动，它会立即采取措施，例如阻止攻击者、隔离受影响的系统以及通知安全管理员。您可以通过自动化事件响应工作流进一步简化事件管理，并将工单分配给安全管理员，以更快地解决事件。您还可以根据安全事件的类型定义要触发的一组操作，以主动缓解关键威胁。