机构名称:
¥ 4.0
LOTL 是一种有效的技术,因为许多组织没有实施支持检测恶意活动的安全最佳实践功能。CISA 的红队经常利用 LOTL 进行未被发现的持续访问。这些红队评估展示了攻击者如何在几乎不投资工具的情况下实现对整个域的入侵。在许多情况下,CISA 的红队发现被评估的组织缺乏安全基线,允许 LOLBins 执行,并使分析师无法识别异常活动。在其他情况下,组织没有适当调整其检测工具以减少警报噪音,导致警报数量难以管理,难以筛选和采取行动。自动化系统(例如使用服务帐户和漏洞扫描器的持续管理功能)经常执行高度特权的、可能可疑的操作,如果没有适当分类,这些操作会使分析师淹没在日志事件中。
TLP:清除 TLP:清除
主要关键词
相关文件推荐
