Техника на mitre.org

T1499.003: Исчерпание ресурсов приложения

Злоумышленники могут провести атаку типа "отказ в обслуживании" (DoS), нацеленную на ресурсоемкие функции приложений, чтобы заблокировать доступ к этим приложениям. Например, некоторые функции веб-приложений могут потреблять огромное количество ресурсов. Многократные запросы к этим функциям могут исчерпать системные ресурсы и привести к недоступности приложения или даже сервера.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

network_devices_abnormal_activity: PT-CR-473: Possible_Rogue_FHRP_Peer: Ошибка аутентификации FHRP sap_suspicious_user_activity: PT-CR-255: SAPASABAP_GW_Server_Registration_Anomaly: Множественные попытки зарегистрировать сервер

Способы обнаружения

ID	DS0013	Источник и компонент данных	Данные о работоспособности: Состояние узла	Описание	Иногда DoS-атаки на конечные точки можно обнаружить до того, как они нарушат работу сервиса, однако для этого нужен очень строгий мониторинг и оперативное реагирование. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на проведение атаки типа "отказ в обслуживании" (DoS), нацеленной на ресурсоемкие функции веб-приложений. Дополните обнаружение на уровне сети журналированием и инструментами мониторинга на конечных устройствах. Записи об атаках на веб-приложения могут регистрироваться в журналах веб-серверов, серверных приложений и (или) серверов баз данных, что позволяет определить тип атаки, в том числе до нанесения значительного ущерба. Осуществляйте внешний мониторинг доступности служб, которые могут быть затронуты DoS-атаками на конечные системы.

ID	Источник и компонент данных	Описание
DS0013	Данные о работоспособности: Состояние узла	Иногда DoS-атаки на конечные точки можно обнаружить до того, как они нарушат работу сервиса, однако для этого нужен очень строгий мониторинг и оперативное реагирование. Отслеживайте записи журналов, сообщения и другие артефакты, указывающие на состояние датчиков узла (например, метрики, ошибки и (или) исключения из инструментов ведения журналов).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на проведение атаки типа "отказ в обслуживании" (DoS), нацеленной на ресурсоемкие функции веб-приложений. Дополните обнаружение на уровне сети журналированием и инструментами мониторинга на конечных устройствах. Записи об атаках на веб-приложения могут регистрироваться в журналах веб-серверов, серверных приложений и (или) серверов баз данных, что позволяет определить тип атаки, в том числе до нанесения значительного ущерба. Осуществляйте внешний мониторинг доступности служб, которые могут быть затронуты DoS-атаками на конечные системы.

Меры противодействия

ID	M1037	Название	Фильтрация сетевого трафика	Описание	Используйте услуги, предоставляемые сетями доставки содержимого (CDN) или поставщиками услуг защиты от DoS-атак, для фильтрации трафика, идущего от сервисов. Фильтруйте пограничный трафик, блокируя адреса источников атаки, порты, на которые направлена атака, или соответствующие транспортные протоколы.

ID	Название	Описание
M1037	Фильтрация сетевого трафика	Используйте услуги, предоставляемые сетями доставки содержимого (CDN) или поставщиками услуг защиты от DoS-атак, для фильтрации трафика, идущего от сервисов. Фильтруйте пограничный трафик, блокируя адреса источников атаки, порты, на которые направлена атака, или соответствующие транспортные протоколы.