IoC и APT

Большое количество неудачных попыток входа в систему

Обновление программного продукта

Несанкционированное изменение конфигурационных файлов

Передача данных через редко используемые порты

IoC

APT

TTPs

HTTPS

ДА

НЕТ

Только несанкционированное

Только если при этом не были внесены изменения в реестр

Ведётся кибератака на систему

Система готова к отражению кибератак

Была отражена попытка кибератаки на систему

Не удалось отразить кибератаку на систему

Возможные киберугрозы

Виды APT-атак

Способы определения местоположения устройства

Типы индикаторов компрометации

Обнаружение вредоносной активности на ранней стадии

Устранение следов кибератаки

Предотвращение известных угроз

Обнаружение уже произошедшей компрометации

Уведомление об авторизации с необычного устройства

Сигнатура вредоносной программы

Несанкционированное изменение реестра

Подозрительная активность в учетных записях администраторов

Обнаружение произошедших компрометаций

Написание правил корреляции

Формирование отчётов о событиях

Блокирование вредоносных ресурсов