V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
M1050Enterprise
Матрица: Enterprise
Статус: Активная
STIX: 19.0
Источник ↗

Защита от эксплойтов

Развёртывайте средства обнаружения, блокировки и нейтрализации условий, свидетельствующих об эксплуатации программного обеспечения. Данные средства направлены на предотвращение эксплуатации путём устранения уязвимостей, мониторинга аномального поведения и применения техник защиты от эксплойтов для усиления защиты систем и программного обеспечения. Защита от эксплойтов на уровне ОС: - Сценарий применения: включайте встроенные функции защиты от эксплойтов, предоставляемые современными операционными системами, такие как Microsoft Exploit Protection, включающие DEP (Data Execution Prevention), ASLR (Address Space Layout Randomization) и Control Flow Guard (CFG). - Реализация: применяйте DEP для всех программ и включайте ASLR для рандомизации адресов памяти, используемых системными и прикладными процессами. Windows: настраивайте Exploit Protection через приложение «Безопасность Windows» или развёртывайте параметры через групповую политику. `ExploitProtectionExportSettings.exe -path "exploit_settings.xml"` Linux: используйте функции усиления защиты на уровне ядра — SELinux, AppArmor или GRSEC — для применения защиты памяти и предотвращения эксплойтов. Сторонние средства защиты конечных точек: - Сценарий применения: используйте инструменты защиты конечных точек со встроенной защитой от эксплойтов — расширенной защитой памяти, мониторингом поведения и обнаружением эксплойтов в реальном времени. - Реализация: развёртывайте инструменты для обнаружения и блокировки попыток эксплуатации уязвимостей необновлённого программного обеспечения. Виртуальное исправление: - Сценарий применения: используйте инструменты для применения виртуальных патчей, нейтрализующих уязвимости в приложениях или операционных системах до выхода официальных исправлений. - Реализация: используйте систему предотвращения вторжений (IPS) для блокировки попыток эксплуатации известных уязвимостей в устаревших приложениях. Усиление конфигураций приложений: - Сценарий применения: отключайте рискованные функции приложений, которые могут быть эксплуатированы, — например, макросы в Microsoft Office или JScript в Internet Explorer. - Реализация: настраивайте групповые политики Microsoft Office для отключения выполнения макросов в загруженных файлах.

Связанные техники

T1068
Эксплуатация для повышения привилегий
T1080
Заражение общего контента
T1189
Компрометация через скрытую загрузку
T1190
Эксплуатация общедоступного приложения
T1203
Эксплуатация для выполнения клиентом
T1210
Эксплуатация удаленных служб
T1211
Эксплуатация для предотвращения обнаружения
T1212
Эксплуатация для получения учетных данных
T1218
Проксирование выполнения с помощью системных двоичных файлов
T1218.010
Regsvr32
T1218.011
Rundll32
T1218.015
Приложения Electron
Открыть на attack.mitre.org ↗
Совпадений нет — уточните фильтр.