مع اعتماد الخصوم بشكل متزايد على الأدوات المشروعة لإخفاء أنشطتهم الضارة، يتعين على المدافعين عن المؤسسات إعادة التفكير في بنية الشبكة من أجل اكتشاف هذه الهجمات والدفاع ضدها.
تشير هذه التكتيكات، المعروفة باسم "العيش خارج الأرض" (LotL)، إلى كيفية استخدام الخصوم لأدوات محلية ومشروعة داخل بيئة الضحية لتنفيذ هجماتهم. عندما يقوم المهاجمون بإدخال أدوات جديدة في البيئة باستخدام البرامج الضارة أو الأدوات الخاصة بهم، فإنهم يحدثون بعض الضوضاء على الشبكة. وهذا يثير احتمال أن تؤدي هذه الأدوات إلى إطلاق إنذارات أمنية وتنبيه المدافعين عن وجود شخص غير مصرح به على الشبكة ويقوم بنشاط مشبوه. إن المهاجمين الذين يستخدمون الأدوات الموجودة يجعلون من الصعب على المدافعين فصل الإجراءات الضارة عن الأنشطة المشروعة.
لإجبار المهاجمين على إحداث المزيد من الضجيج على الشبكة، يجب على قادة أمن تكنولوجيا المعلومات إعادة التفكير في الشبكة بحيث لا يكون التنقل عبر الشبكة بهذه السهولة.
تأمين الهويات والحد من التحركات
يتمثل أحد الأساليب في تطبيق ضوابط وصول قوية ومراقبة تحليلات السلوك المميز حتى يتمكن فريق الأمان من تحليل حركة مرور الشبكة وطلبات الوصول الواردة من أدواتهم الخاصة. يقول جوزيف كارسون، كبير علماء الأمن ورئيس قسم أمن المعلومات الاستشاري في Delinea، إن الثقة المعدومة مع ضوابط الوصول المتميزة القوية - مثل مبدأ الامتيازات الأقل - تجعل من الصعب على المهاجمين التنقل عبر الشبكة.
ويقول: "هذا يجبرهم على استخدام تقنيات تخلق المزيد من الضوضاء والتموجات على الشبكة". "إنه يمنح المدافعين عن تكنولوجيا المعلومات فرصة أفضل لاكتشاف الوصول غير المصرح به في وقت مبكر جدًا من الهجوم - قبل أن تتاح لهم فرصة لنشر البرامج الضارة أو برامج الفدية."
وهناك طريقة أخرى وهي النظر في تقنيات وسيط أمان الوصول السحابي (CASB) وتقنيات حافة خدمة الوصول الآمن (SASE) لفهم من (أو ما) الذي يتصل بأي موارد وأنظمة، مما قد يسلط الضوء على تدفقات الشبكة غير المتوقعة أو المشبوهة. تم تصميم حلول CASB لتوفير الأمان والرؤية للمؤسسات التي تعتمد الخدمات والتطبيقات السحابية. إنهم يعملون كوسطاء بين المستخدمين النهائيين ومقدمي الخدمات السحابية، ويقدمون مجموعة من عناصر التحكم الأمنية، بما في ذلك منع فقدان البيانات (DLP)، والتحكم في الوصول، والتشفير، واكتشاف التهديدات.
SASE هو إطار عمل أمني يجمع بين وظائف أمان الشبكة، مثل بوابات الويب الآمنة وجدار الحماية كخدمة والوصول إلى الشبكة بدون ثقة، مع إمكانات الشبكة واسعة النطاق (WAN) مثل SD-WAN (شبكة واسعة النطاق محددة بالبرمجيات) ).
يقول غاريث ليندال وايز، كبير مسؤولي أمن المعلومات في Ontinue: "يجب أن يكون هناك تركيز قوي على إدارة سطح الهجوم [LotL]". "ينجح المهاجمون عندما يمكن استخدام الأدوات والعمليات المضمنة أو المنشورة من عدد كبير جدًا من نقاط النهاية بواسطة عدد كبير جدًا من الهويات."
تقول ليندال-وايز إن هذه الأنشطة، بطبيعتها، عبارة عن حالات شاذة سلوكية، لذا فإن فهم ما تتم مراقبته وتغذيته في منصات الارتباط أمر بالغ الأهمية. يجب على الفرق التأكد من التغطية من نقاط النهاية والهويات ثم إثراء ذلك بمرور الوقت بمعلومات الاتصال بالشبكة. يمكن أن يساعد فحص حركة مرور الشبكة في الكشف عن تقنيات أخرى، حتى لو كانت حركة المرور نفسها مشفرة.
النهج القائم على الأدلة
يمكن للمؤسسات، بل وينبغي لها، اتباع نهج قائم على الأدلة لتحديد أولويات مصادر القياس عن بعد التي تستخدمها للحصول على رؤية حول إساءة استخدام المرافق المشروعة.
"تعد تكلفة تخزين مصادر السجلات ذات الحجم الكبير عاملاً حقيقيًا للغاية، ولكن يجب تحسين الإنفاق على القياس عن بعد وفقًا للمصادر التي تعطي نافذة على التهديدات، بما في ذلك الأدوات المساعدة التي تمت إساءة استخدامها، والتي يتم ملاحظتها في أغلب الأحيان في البرية وتعتبر ذات صلة بالمؤسسة يقول سكوت سمول، مدير استخبارات التهديدات في Tidal Cyber.
ويشير إلى أن جهود المجتمع المتعددة تجعل هذه العملية أكثر عملية من ذي قبل، بما في ذلك مشروع "LOLBAS" مفتوح المصدر، الذي يتتبع التطبيقات الضارة المحتملة لمئات من المرافق الرئيسية.
وفي الوقت نفسه، يسمح كتالوج متزايد من الموارد من MITRE ATT&CK ومركز الدفاع المستنير بالتهديدات وبائعي الأدوات الأمنية بالترجمة من نفس السلوكيات العدائية مباشرة إلى بيانات منفصلة وذات صلة ومصادر سجلات.
"ليس من العملي بالنسبة لمعظم المؤسسات أن تقوم بتتبع كل مصدر سجل معروف بشكل كامل طوال الوقت،" يلاحظ سمول. "يُظهر تحليلنا للبيانات الواردة من مشروع LOBAS أن أدوات LotL المساعدة هذه يمكن استخدامها لتنفيذ كل أنواع الأنشطة الضارة تقريبًا."
وتتراوح هذه من التهرب الدفاعي إلى تصعيد الامتيازات، والمثابرة، والوصول إلى بيانات الاعتماد، وحتى التسرب والتأثير.
يقول سمول: "وهذا يعني أيضًا أن هناك العشرات من مصادر البيانات المنفصلة التي يمكن أن توفر رؤية واضحة للاستخدام الضار لهذه الأدوات - وهو عدد كبير جدًا بحيث لا يمكن تسجيله بشكل واقعي بشكل شامل ولفترات طويلة من الزمن".
ومع ذلك، يُظهر التحليل الدقيق مكان وجود التجميع (والمصادر الفريدة) - على سبيل المثال، ستة فقط من أصل 48 مصدرًا للبيانات ذات صلة بأكثر من ثلاثة أرباع (82٪) من التقنيات المرتبطة بـ LOLBAS.
يقول سمول: "يوفر هذا فرصًا لضم القياس عن بعد أو تحسينه مباشرةً بما يتماشى مع أفضل تقنيات العيش خارج الأرض، أو تقنيات معينة مرتبطة بالمرافق التي تعتبرها المنظمة ذات أولوية قصوى".
خطوات عملية لقادة أمن تكنولوجيا المعلومات
يمكن لفرق أمن تكنولوجيا المعلومات اتخاذ العديد من الخطوات العملية والمعقولة للكشف عن المهاجمين الذين يعيشون خارج الأرض، طالما لديهم رؤية للأحداث.
يقول راندي بارجمان، مدير الكشف عن التهديدات في Proofpoint: "على الرغم من أنه من الرائع أن تكون لديك رؤية للشبكة، إلا أن الأحداث من نقاط النهاية - سواء محطات العمل أو الخوادم - تكون ذات قيمة إذا تم استخدامها بشكل جيد".
على سبيل المثال، إحدى تقنيات LotL التي يستخدمها العديد من جهات التهديد مؤخرًا هي تثبيت برنامج شرعي للمراقبة والإدارة عن بعد (RMM).
يفضل المهاجمون أدوات RMM لأنها موثوقة وموقعة رقميًا ولن تقوم بتشغيل تنبيهات مكافحة الفيروسات أو الكشف عن نقطة النهاية والاستجابة لها (EDR)، بالإضافة إلى أنها سهلة الاستخدام ومعظم موردي RMM لديهم خيار تجريبي مجاني كامل الميزات.
وتتمثل الميزة بالنسبة لفرق الأمان في أن جميع أدوات RMM تتمتع بسلوك يمكن التنبؤ به للغاية، بما في ذلك التوقيعات الرقمية، ومفاتيح التسجيل التي تم تعديلها، وأسماء النطاق التي يتم البحث عنها، وأسماء العمليات التي يجب البحث عنها.
يقول بارجمان: "لقد حققت نجاحًا كبيرًا في اكتشاف استخدام المتسللين لأدوات RMM ببساطة عن طريق كتابة توقيعات الكشف لجميع أدوات RMM المتاحة مجانًا، وعمل استثناء للأداة المعتمدة، إن وجدت".
من المفيد أن يتم السماح باستخدام بائع RMM واحد فقط، وإذا تم تثبيته دائمًا بنفس الطريقة - على سبيل المثال أثناء تصوير النظام أو باستخدام برنامج نصي خاص - بحيث يكون من السهل معرفة الفرق بين التثبيت المصرح به والتثبيت المصرح به. ويضيف أن ممثل التهديد يخدع المستخدم لتشغيل التثبيت.
"هناك العديد من فرص الاكتشاف الأخرى مثل هذه، بدءًا من القائمة الواردة لولباسيقول بارجمان. "من خلال تشغيل استعلامات البحث عن التهديدات عبر جميع أحداث نقطة النهاية، يمكن لفرق الأمان العثور على أنماط الاستخدام العادي في بيئاتهم، ثم إنشاء استعلامات تنبيه مخصصة للكشف عن أنماط الاستخدام غير الطبيعية."
هناك أيضًا فرص للحد من إساءة استخدام الأدوات المضمنة التي يفضلها المهاجمون، مثل تغيير البرنامج الافتراضي المستخدم لفتح ملفات البرمجة النصية (امتدادات الملفات .js، و.jse، و.vbs، و.vbe، و.wsh، وما إلى ذلك). أنها لا تفتح في WScript.exe عند النقر عليها نقرًا مزدوجًا.
يقول بارجمان: "يساعد ذلك في تجنب خداع المستخدمين النهائيين لتشغيل برنامج نصي ضار".
تقليل الاعتماد على أوراق الاعتماد
تحتاج المؤسسات إلى تقليل اعتمادها على بيانات الاعتماد لإنشاء اتصالات، وفقًا لروب هيوز، رئيس قسم تكنولوجيا المعلومات في RSA. وبالمثل، تحتاج المؤسسات إلى رفع التنبيهات بشأن المحاولات الشاذة والفاشلة والقيم المتطرفة من أجل منح فرق الأمان رؤية حول مكان تفعيل الرؤية المشفرة. إن فهم الشكل "العادي" و"الجيد" في اتصالات الأنظمة وتحديد القيم المتطرفة هو وسيلة للكشف عن هجمات LotL.
المجال الذي غالبًا ما يتم التغاضي عنه والذي بدأ يحظى بمزيد من الاهتمام هو حسابات الخدمة، والتي تميل إلى أن تكون غير منظمة، وحمايتها ضعيفة، وهدفًا رئيسيًا للعيش على الهجمات البرية.
"إنهم يديرون أعباء العمل لدينا في الخلفية. يقول هيوز: "نحن نميل إلى الثقة بهم، وربما أكثر من اللازم". "أنت تريد المخزون والملكية وآليات المصادقة القوية على هذه الحسابات أيضًا."
يمكن أن يكون تحقيق الجزء الأخير أكثر صعوبة لأن حسابات الخدمة ليست تفاعلية، وبالتالي فإن آليات المصادقة متعددة العوامل المعتادة (MFA) التي تعتمد عليها المؤسسات مع المستخدمين ليست فعالة.
يقول هيوز: "مثل أي مصادقة، هناك درجات من القوة". "أوصي باختيار آلية قوية والتأكد من قيام فرق الأمان بتسجيل الدخول والرد على أي تسجيلات دخول تفاعلية من حساب الخدمة. لا ينبغي أن يحدث ذلك."
مطلوب استثمار الوقت المناسب
لا ينبغي أن يكون بناء ثقافة الأمن مكلفًا، ولكنك تحتاج إلى قيادة راغبة في دعم القضية ومناصرتها.
يقول هيوز إن الاستثمار في الوقت هو في بعض الأحيان أكبر استثمار يمكن القيام به. لكن تطبيق ضوابط الهوية القوية عبر المؤسسة وفي جميع أنحاءها لا يجب أن يكون مسعى مكلفًا مقارنة بالحد من المخاطر التي يحققها ذلك.
ويقول: "يزدهر الأمن من خلال الاستقرار والاتساق، ولكن لا يمكننا دائمًا التحكم في ذلك في بيئة الأعمال". "قم باستثمارات ذكية في تقليل الديون الفنية في الأنظمة غير المتوافقة أو المتعاونة مع MFA أو ضوابط الهوية القوية."
يقول بارجمان إن الأمر كله يتعلق بسرعة الاكتشاف والاستجابة.
"في العديد من الحالات التي قمت بالتحقيق فيها، كان الشيء الذي أحدث أكبر فرق إيجابي للمدافعين هو الاستجابة السريعة من محلل SecOps اليقظ الذي لاحظ شيئًا مريبًا، وقام بالتحقيق فيه، واكتشف الاختراق قبل أن تتاح لممثل التهديد فرصة للتوسع نفوذهم"، كما يقول.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :يكون
- :ليس
- :أين
- $ UP
- 7
- a
- غير طبيعى
- من نحن
- سوء المعاملة
- الوصول
- وفقا
- حسابي
- الحسابات
- التأهيل
- في
- عمل
- الإجراءات
- أنشطة
- نشاط
- الجهات الفاعلة
- يضيف
- كاف
- تبنى
- مميزات
- الخصومة
- استشاري
- ضد
- ملاحظه
- التنبيهات
- الكل
- السماح
- أيضا
- دائما
- an
- تحليل
- المحلل
- تحليلات
- تحليل
- و
- الشذوذ
- الحماية من الفيروسات
- أي وقت
- التطبيقات
- التقديم
- نهج
- من وزارة الصحة
- هندسة معمارية
- هي
- المنطقة
- حول
- AS
- أسوشيتد
- At
- مهاجمة
- الهجمات
- محاولات
- اهتمام
- التحقّق من المُستخدم
- مخول
- متاح
- تجنب
- خلفية
- BE
- لان
- قبل
- سلوك
- السلوكية
- السلوكيات
- يجري
- أفضل
- ما بين
- أكبر
- على حد سواء
- وسيط
- نساعدك في بناء
- مدمج
- الأعمال
- لكن
- by
- CAN
- قدرات
- حمل
- تحمل
- الحالات
- الأقسام
- سبب
- مركز
- بطل
- فرصة
- متغير
- رئيس
- CIO
- CISO
- أقرب
- سحابة
- الخدمات السحابية
- المجموعات
- الجمع بين
- آت
- مجال الاتصالات
- مجتمع
- مقارنة
- متوافق
- الرابط
- التواصل
- الإتصال
- نظر
- مراقبة
- ضوابط
- تعاوني
- ارتباط
- التكلفة
- استطاع
- تغطية
- خلق
- الاعتماد
- أوراق اعتماد
- حرج
- ثقافة
- على
- الانترنت
- البيانات
- فقدان البيانات
- دين
- تعتبر
- الترتيب
- المدافعين عن حقوق الإنسان
- الدفاع
- نشر
- نشر
- تصميم
- بكشف أو
- كشف
- فرق
- رقمي
- رقميا
- مباشرة
- مدير المدارس
- do
- هل
- لا توجد الآن
- فعل
- نطاق
- أسماء المجال
- عشرات
- أثناء
- في وقت سابق
- سهل
- حافة
- جهود
- مشفرة
- التشفير
- النهاية
- محاولة
- نقطة النهاية
- إثراء
- ضمان
- مشروع
- البيئة
- البيئات
- التصعيد
- إنشاء
- إلخ
- تملص
- حتى
- أحداث
- كل
- مثال
- استثناء
- exfiltration
- يوجد
- القائمة
- وسع
- ذو تكلفة باهظة
- اضافات المتصفح
- عامل
- فشل
- صالح
- عقار مميز
- تغذية
- قم بتقديم
- ملفات
- يطفو
- تركز
- في حالة
- القوة
- القوات
- وجدت
- الإطار
- مجانًا
- تجربة مجانية
- بحرية
- تبدأ من
- تماما
- وظائف
- ربح
- بوابات
- دولار فقط واحصل على خصم XNUMX% على جميع
- GitHub جيثب:
- منح
- يعطي
- خير
- عظيم
- متزايد
- كان
- حدث
- أصعب
- يملك
- he
- مساعدة
- يساعد
- إخفاء
- أعلى
- تسليط الضوء
- كيفية
- HTTPS
- مئات
- i
- تحديد
- المتطابقات
- هوية
- if
- التصوير
- التأثير
- in
- بما فيه
- بما في ذلك الرقمية
- على نحو متزايد
- تأثير
- معلومات
- تثبيت
- التركيب
- تثبيت
- رؤيتنا
- التفاعلية
- وسطاء
- إلى
- تقديم
- المخزون
- استثمار
- الاستثمارات
- IT
- أمن تكنولوجيا المعلومات
- نفسها
- JPG
- م
- القفل
- مفاتيح
- معروف
- البلد
- أكبر
- اسم العائلة
- قادة
- القيادة
- الأقل
- شرعي
- مثل
- على الأرجح
- مما سيحدث
- الحد من
- خط
- قائمة
- الذين يعيشون
- سجل
- طويل
- بحث
- يبدو مثل
- بدا
- خسارة
- الكثير
- صنع
- جعل
- يصنع
- القيام ب
- خبيث
- البرمجيات الخبيثة
- إدارة
- إدارة
- كثير
- يعني
- آلية
- آليات
- MFA
- تم التعديل
- مراقبة
- مراقبة
- مراقبة
- الأكثر من ذلك
- أكثر
- خطوة
- الحركات
- يتحرك
- كثيرا
- مصادقة متعددة العوامل
- يجب
- أسماء
- محلي
- الطبيعة
- حاجة
- شبكة
- شبكة الأمن
- ازدحام انترنت
- جديد
- ضجيج
- عادي
- ملاحظة
- of
- خصم
- الوهب
- غالبا
- on
- على متن
- ONE
- منها
- فقط
- جاكيت
- المصدر المفتوح
- الفرص
- الأمثل
- الأمثل
- خيار
- or
- طلب
- منظمة
- المنظمات
- أخرى
- لنا
- خارج
- على مدى
- الخاصة
- ملكية
- جزء
- خاص
- أنماط
- فترات
- إصرار
- اختيار
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- المزيد
- نقاط
- إيجابي
- إمكانية
- يحتمل
- عملية
- عمليا
- قابل للتنبؤ
- تفضل
- الوقاية
- رئيسي
- مبدأ
- ترتيب الاولويات
- الأولوية
- امتياز
- متميز
- عملية المعالجة
- العمليات
- البرنامج
- تنفيذ المشاريع
- محمي
- تزود
- مقدمي
- ويوفر
- الاستفسارات
- سريع
- رفع
- يثير
- نطاق
- الفدية
- حقيقي
- معقول
- مؤخرا
- نوصي
- إعادة التصميم
- تخفيض
- تقليص
- تخفيض
- الرجوع
- سجل
- ذات الصلة
- اعتماد
- اعتمد
- الاعتماد
- عن بعد
- طلبات
- مطلوب
- الموارد
- الرد
- استجابة
- تموجات
- المخاطرة
- سلب
- قوي
- آر إس إيه
- يجري
- تشغيل
- s
- نفسه
- يقول
- عالم
- سكوت
- سيناريو
- تأمين
- تأمين
- أمن
- مستقل
- خوادم
- الخدمة
- مقدمي الخدمة
- خدماتنا
- طقم
- ينبغي
- يظهر
- التوقيعات
- وقعت
- ببساطة
- SIX
- صغير
- سمارت
- So
- تطبيقات الكمبيوتر
- الحلول
- بعض
- شخص ما
- شيء
- أحيانا
- مصدر
- مصادر
- تختص
- سرعة
- أنفق
- المدعومة
- استقرار
- ابتداء
- خطوات
- تخزين
- قوة
- قوي
- النجاح
- تحقيق النجاح
- هذه
- الدعم
- بالتأكيد
- المساحة
- مشكوك فيه
- نظام
- أنظمة
- التكتيكات
- أخذ
- الهدف
- فريق
- فريق
- تقني
- تقنيات
- التكنولوجيا
- اقول
- تميل
- من
- أن
- •
- من مشاركة
- منهم
- then
- هناك.
- تشبه
- هم
- شيء
- هؤلاء
- التهديد
- الجهات التهديد
- التهديدات
- يزدهر
- طوال
- الوقت
- إلى
- جدا
- أداة
- أدوات
- تيشرت
- مسار
- المسارات
- حركة المرور
- محاكمة
- خداع
- يثير
- الثقة
- افضل
- نوع
- غير مصرح
- كشف
- فهم
- فهم
- غير متوقع
- فريد من نوعه
- تستخدم
- مستعمل
- مستخدم
- المستخدمين
- استخدام
- معتاد
- خدمات
- سهل حياتك
- القيمة
- Ve
- بائع
- الباعة
- جدا
- ضحية
- رؤية
- تريد
- وكان
- طريق..
- we
- الويب
- حسن
- ابحث عن
- ما هي تفاصيل
- متى
- التي
- في حين
- من الذى
- واسع
- بري
- مستعد
- نافذة
- مع
- في غضون
- جاري الكتابة
- أنت
- زفيرنت
- صفر
- الثقة صفر