Da modstandere i stigende grad er afhængige af legitime værktøjer til at skjule deres ondsindede aktiviteter, er virksomhedens forsvarere nødt til at genoverveje netværksarkitekturen for at opdage og forsvare sig mod disse angreb.
Kendt som "living off the land" (LotL), henviser disse taktikker til, hvordan modstandere bruger indfødte, legitime værktøjer i ofrets miljø til at udføre deres angreb. Når angribere introducerer nye værktøjer i miljøet ved at bruge deres egen malware eller værktøjer, skaber de noget støj på netværket. Det rejser muligheden for, at disse værktøjer kan udløse sikkerhedsalarmer og advare forsvarere om, at nogen uautoriseret er på netværket og udfører mistænkelig aktivitet. Angribere, der bruger eksisterende værktøjer, gør det sværere for forsvarere at adskille ondsindede handlinger fra legitim aktivitet.
For at tvinge angribere til at skabe mere støj på netværket, skal IT-sikkerhedsledere genoverveje netværket, så det ikke er så nemt at flytte rundt på netværket.
Sikring af identiteter, begrænsning af bevægelser
En tilgang er at anvende stærke adgangskontroller og overvåge privilegeret adfærdsanalyse, så sikkerhedsteamet kan analysere netværkstrafik og adgangsanmodninger, der kommer fra deres egne værktøjer. Nul tillid med stærke privilegerede adgangskontroller – såsom princippet om mindste privilegium – gør det sværere for angribere at bevæge sig rundt på netværket, siger Joseph Carson, chefsikkerhedsforsker og rådgivende CISO hos Delinea.
"Dette tvinger dem til at bruge teknikker, der skaber mere støj og krusninger på netværket," siger han. "Det giver it-forsvarere en bedre chance for at opdage uautoriseret adgang meget tidligere i angrebet - før de har en chance for at implementere skadelig software eller ransomware."
En anden er at overveje Cloud Access Security Broker (CASB) og SASE-teknologier (Secure Access Service Edge) for at forstå, hvem (eller hvad) der forbinder til hvilke ressourcer og systemer, hvilket kan fremhæve uventede eller mistænkelige netværksstrømme. CASB-løsninger er designet til at give sikkerhed og synlighed for organisationer, der anvender cloud-tjenester og -applikationer. De fungerer som mellemled mellem slutbrugere og cloud-tjenesteudbydere og tilbyder en række sikkerhedskontroller, herunder forebyggelse af datatab (DLP), adgangskontrol, kryptering og trusselsdetektion.
SASE er en sikkerhedsramme, der kombinerer netværkssikkerhedsfunktioner, såsom sikre web-gateways, firewall-as-a-service og nul-trust netværksadgang, med Wide Area Network (WAN)-funktioner som SD-WAN (software-defineret wide area network) ).
"Der bør være et robust fokus på at styre [LotL] angrebsoverfladen," siger Gareth Lindahl-Wise, CISO hos Ontinue. "Angribere lykkes, hvor indbyggede eller implementerede værktøjer og processer kan bruges fra for mange endepunkter af for mange identiteter."
Disse aktiviteter er i sagens natur adfærdsmæssige anomalier, så det er vigtigt at forstå, hvad der overvåges og indfødes i korrelationsplatforme, siger Lindahl-Wise. Hold bør sikre dækning fra slutpunkter og identiteter og derefter over tid berige dette med netværksforbindelsesoplysninger. Netværkstrafikinspektion kan hjælpe med at afdække andre teknikker, selvom selve trafikken er krypteret.
En evidensbaseret tilgang
Organisationer kan og bør tage en evidensbaseret tilgang til at prioritere, hvilke telemetrikilder de bruger til at få indblik i lovligt misbrug af forsyningsvirksomheder.
"Omkostningerne ved at opbevare logkilder med større volumer er en meget reel faktor, men udgifterne til telemetri bør optimeres i henhold til kilder, der giver et indblik i de trusler, herunder misbrugte hjælpeprogrammer, der oftest observeres i naturen og anses for relevante for organisationen. ,” siger Scott Small, direktør for trusselsefterretning hos Tidal Cyber.
Flere fællesskabsindsatser gør denne proces mere praktisk end før, inklusive "LOLBAS" open source-projektet, som sporer de potentielt ondsindede applikationer fra hundredvis af nøgleværktøjer, påpeger han.
I mellemtiden giver et voksende katalog af ressourcer fra MITER ATT&CK, Center for Threat-Informed Defense og leverandører af sikkerhedsværktøjer mulighed for at oversætte fra den samme modstridende adfærd direkte til diskrete, relevante data- og logkilder.
"Det er ikke praktisk for de fleste organisationer fuldt ud at spore alle kendte logkilder hele tiden," bemærker Small. "Vores analyse af data fra LOBAS-projektet viser, at disse LotL-værktøjer kan bruges til at udføre praktisk talt enhver form for ondsindet aktivitet."
Disse spænder fra forsvarsunddragelse til privilegieeskalering, vedholdenhed, legitimationsadgang og endda eksfiltration og påvirkning.
"Dette betyder også, at der er snesevis af diskrete datakilder, der kan give synlighed i den ondsindede brug af disse værktøjer - for meget til realistisk at logge omfattende og i lange perioder," siger Small.
En nærmere analyse viser dog, hvor der findes klyngedannelse (og unikke kilder) – for eksempel er kun seks ud af 48 datakilder relevante for mere end tre fjerdedele (82%) af LOLBAS-relaterede teknikker.
"Dette giver muligheder for at indbygge eller optimere telemetri direkte i overensstemmelse med de bedste teknikker til at leve uden for landet, eller særlige dem, der er forbundet med de forsyninger, der anses for at have højeste prioritet af organisationen," siger Small.
Praktiske trin for IT-sikkerhedsledere
IT-sikkerhedsteams kan tage mange praktiske og rimelige skridt for at opdage angribere, der lever fra landet, så længe de har indsigt i begivenheder.
"Selvom det er fantastisk at have netværkssynlighed, er hændelser fra slutpunkter - både arbejdsstationer og servere - lige så værdifulde, hvis de bruges godt," siger Randy Pargman, direktør for trusselsdetektion hos Proofpoint.
For eksempel er en af de LotL-teknikker, der er brugt af mange trusselsaktører for nylig, at installere legitim fjernovervågnings- og styringssoftware (RMM).
Angriberne foretrækker RMM-værktøjer, fordi de er betroede, digitalt signerede og ikke vil udløse antivirus- eller endpoint detection and response (EDR) advarsler, plus de er nemme at bruge, og de fleste RMM-leverandører har en fuldt udstyret gratis prøveversion.
Fordelen for sikkerhedsteams er, at alle RMM-værktøjerne har en meget forudsigelig adfærd, herunder digitale signaturer, registreringsnøgler, der ændres, domænenavne, der slås op, og procesnavne, der skal kigges efter.
"Jeg har haft stor succes med at opdage ubudne gæsters brug af RMM-værktøjer ved blot at skrive detektionssignaturer til alle de frit tilgængelige RMM-værktøjer og gøre en undtagelse for det godkendte værktøj, hvis nogen," siger Pargman.
Det hjælper, hvis kun én RMM-leverandør er autoriseret til at blive brugt, og hvis den altid installeres på samme måde – f.eks. under systemafbildning eller med et specielt script – så det er nemt at kende forskel på en autoriseret installation og en trusselsaktør narrer en bruger til at køre installationen, tilføjer han.
"Der er mange andre detektionsmuligheder ligesom denne, startende med listen i LOLBAS", siger Pargman. "Ved at køre trusselsjagtende forespørgsler på tværs af alle endpoint-hændelser kan sikkerhedsteams finde mønstrene for normal brug i deres miljøer og derefter bygge tilpassede alarmforespørgsler for at opdage unormale brugsmønstre."
Der er også muligheder for at begrænse misbrug af indbyggede værktøjer, som angriberne foretrækker, såsom at ændre standardprogrammet, der bruges til at åbne scripting-filer (filtypenavne .js, .jse, .vbs, .vbe, .wsh osv.) at de ikke åbnes i WScript.exe, når der dobbeltklikkes.
"Det hjælper med at undgå, at slutbrugere bliver narret til at køre et ondsindet script," siger Pargman.
Reducerer afhængigheden af legitimationsoplysninger
Organisationer er nødt til at reducere deres afhængighed af legitimationsoplysninger for at etablere forbindelser, ifølge Rob Hughes, CIO for RSA. Ligeledes er organisationer nødt til at rejse advarsler om unormale og mislykkede forsøg og afvigere for at give sikkerhedsteams indsigt i, hvor krypteret synlighed er i spil. At forstå, hvordan "normalt" og "godt" ser ud i systemkommunikation og identificere outliers er en måde at opdage LotL-angreb.
Et ofte overset område, der begynder at få meget mere opmærksomhed, er servicekonti, som har tendens til at være uregulerede, svagt beskyttede og et primært mål for at leve af landangrebene.
"De kører vores arbejdsmængder i baggrunden. Vi har en tendens til at stole på dem – sandsynligvis for meget,” siger Hughes. "Du vil også have lager, ejerskab og stærke godkendelsesmekanismer på disse konti."
Den sidste del kan være sværere at opnå, fordi tjenestekonti ikke er interaktive, så de sædvanlige multifaktorautentificeringsmekanismer (MFA) organisationer er afhængige af med brugere, ikke er i spil.
"Som enhver godkendelse er der grader af styrke," siger Hughes. "Jeg vil anbefale at vælge en stærk mekanisme og sørge for, at sikkerhedsteam logger og reagerer på eventuelle interaktive logins fra en tjenestekonto. De burde ikke ske."
Tilstrækkelig tidsinvestering påkrævet
At opbygge en sikkerhedskultur behøver ikke at være dyrt, men du har brug for villig ledelse til at støtte og forkæmpe sagen.
Investeringen i tid er nogle gange den største investering at foretage, siger Hughes. Men at bruge stærke identitetskontroller på tværs af og i hele organisationen behøver ikke at være en dyr indsats sammenlignet med den reduktion i risiko, der opnås.
"Sikkerhed trives med stabilitet og konsistens, men vi kan ikke altid kontrollere det i et forretningsmiljø," siger han. "Foretag smarte investeringer i at reducere teknisk gæld i systemer, der ikke er kompatible eller samarbejder med MFA eller stærk identitetskontrol."
Det hele handler om hastighed af detektion og respons, siger Pargman.
"I så mange sager, jeg har undersøgt, var det, der gjorde den største positive forskel for forsvarerne, et hurtigt svar fra en alarmerende SecOps-analytiker, som bemærkede noget mistænkeligt, undersøgte og fandt indtrængen, før trusselsaktøren havde en chance for at udvide deres indflydelse,” siger han.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :er
- :ikke
- :hvor
- $OP
- 7
- a
- abnorm
- Om
- misbrug
- adgang
- Ifølge
- Konto
- Konti
- opnå
- tværs
- Lov
- aktioner
- aktiviteter
- aktivitet
- aktører
- Tilføjer
- passende
- vedtage
- Fordel
- kontradiktorisk
- rådgivende
- mod
- Alert
- Advarsler
- Alle
- tillade
- også
- altid
- an
- analyse
- analytiker
- analytics
- analysere
- ,
- abnormaliteter
- antivirus
- enhver
- applikationer
- Indløs
- tilgang
- godkendt
- arkitektur
- ER
- OMRÅDE
- omkring
- AS
- forbundet
- At
- angribe
- Angreb
- Forsøg på
- opmærksomhed
- Godkendelse
- autoriseret
- til rådighed
- undgå
- baggrund
- BE
- fordi
- før
- adfærd
- adfærdsmæssige
- adfærd
- være
- Bedre
- mellem
- Største
- både
- mægler
- bygge
- indbygget
- virksomhed
- men
- by
- CAN
- kapaciteter
- bære
- regnskabsmæssige
- tilfælde
- katalog
- Årsag
- center
- champion
- chance
- skiftende
- chef
- CIO
- CISO
- tættere
- Cloud
- cloud-tjenester
- klyngedannelse
- kombinerer
- kommer
- Kommunikation
- samfund
- sammenligning
- kompatibel
- Tilslutning
- Tilslutninger
- Connectivity
- Overvej
- kontrol
- kontrol
- kooperativ
- Korrelation
- Koste
- kunne
- dækning
- skabe
- KREDENTIAL
- Legitimationsoplysninger
- kritisk
- Medarbejder kultur
- skik
- Cyber
- data
- datatab
- Gæld
- anses
- Standard
- Defenders
- Forsvar
- indsat
- implementering
- konstrueret
- opdage
- Detektion
- forskel
- digital
- digitalt
- direkte
- Direktør
- do
- gør
- gør ikke
- gør
- domæne
- DOMÆNENAVNE
- snesevis
- i løbet af
- tidligere
- let
- Edge
- indsats
- krypteret
- kryptering
- ende
- bestræbe sig
- Endpoint
- berige
- sikre
- Enterprise
- Miljø
- miljøer
- optrapning
- etablere
- etc.
- unddragelse
- Endog
- begivenheder
- Hver
- eksempel
- undtagelse
- eksfiltration
- eksisterer
- eksisterende
- Udvid
- dyrt
- udvidelser
- faktor
- mislykkedes
- favorisere
- featured
- fodring
- File (Felt)
- Filer
- Finde
- strømme
- Fokus
- Til
- Tving
- Forces
- fundet
- Framework
- Gratis
- gratis prøveversion
- frit
- fra
- fuldt ud
- funktioner
- Gevinst
- gateways
- få
- GitHub
- Giv
- giver
- godt
- stor
- Dyrkning
- havde
- Happening
- hårdere
- Have
- he
- hjælpe
- hjælper
- Skjule
- højeste
- Fremhæv
- Hvordan
- HTTPS
- Hundreder
- i
- identificere
- identiteter
- Identity
- if
- Imaging
- KIMOs Succeshistorier
- in
- Herunder
- herunder digital
- stigende
- indflydelse
- oplysninger
- installere
- installation
- installeret
- Intelligens
- interaktiv
- formidlere
- ind
- indføre
- opgørelse
- investering
- Investeringer
- IT
- det sikkerhed
- selv
- jpg
- lige
- Nøgle
- nøgler
- kendt
- Land
- største
- Efternavn
- ledere
- Leadership" (virkelig menneskelig ledelse)
- mindst
- legitim
- ligesom
- Sandsynlig
- GRÆNSE
- begrænsende
- Line (linje)
- Liste
- levende
- log
- Lang
- Se
- ligner
- kiggede
- off
- Lot
- lavet
- lave
- maerker
- Making
- ondsindet
- malware
- ledelse
- styring
- mange
- midler
- mekanisme
- mekanismer
- MFA
- modificeret
- Overvåg
- overvåges
- overvågning
- mere
- mest
- bevæge sig
- bevægelser
- flytning
- meget
- multifaktorgodkendelse
- skal
- navne
- indfødte
- Natur
- Behov
- netværk
- Network Security
- netværkstrafik
- Ny
- Støj
- normal
- Noter
- of
- off
- tilbyde
- tit
- on
- Ombord
- ONE
- dem
- kun
- åbent
- open source
- Muligheder
- Optimer
- optimeret
- Option
- or
- ordrer
- organisation
- organisationer
- Andet
- vores
- ud
- i løbet af
- egen
- ejerskab
- del
- særlig
- mønstre
- perioder
- udholdenhed
- plukke
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- plus
- punkter
- positiv
- Muligheden
- potentielt
- Praktisk
- praktisk
- Forudsigelig
- foretrække
- Forebyggelse
- Prime
- princippet
- prioritering
- prioritet
- privilegium
- privilegeret
- behandle
- Processer
- Program
- projekt
- beskyttet
- give
- udbydere
- giver
- forespørgsler
- Hurtig
- rejse
- rejser
- rækkevidde
- ransomware
- ægte
- rimelige
- for nylig
- anbefaler
- redesign
- reducere
- reducere
- reduktion
- henvise
- register
- relevant
- afhængighed
- stole
- stole
- fjern
- anmodninger
- påkrævet
- Ressourcer
- Svar
- svar
- krusninger
- Risiko
- Rob
- robust
- rsa
- Kør
- kører
- s
- samme
- siger
- Videnskabsmand
- scott
- script
- sikker
- fastgørelse
- sikkerhed
- adskille
- Servere
- tjeneste
- service-udøvere
- Tjenester
- sæt
- bør
- Shows
- Underskrifter
- underskrevet
- ganske enkelt
- SIX
- lille
- Smart
- So
- Software
- Løsninger
- nogle
- Nogen
- noget
- sommetider
- Kilde
- Kilder
- særligt
- hastighed
- tilbringe
- Sponsoreret
- Stabilitet
- Starter
- Steps
- lagring
- styrke
- stærk
- lykkes
- succes
- sådan
- support
- sikker
- overflade
- mistænksom
- systemet
- Systemer
- taktik
- Tag
- mål
- hold
- hold
- Teknisk
- teknikker
- Teknologier
- fortælle
- tendens
- end
- at
- deres
- Them
- derefter
- Der.
- Disse
- de
- ting
- denne
- dem
- trussel
- trusselsaktører
- trusler
- trives
- hele
- tid
- til
- også
- værktøj
- værktøjer
- top
- spor
- spor
- Trafik
- retssag
- narret
- udløse
- Stol
- betroet
- typen
- uberettiget
- afdække
- forstå
- forståelse
- Uventet
- enestående
- brug
- anvendte
- Bruger
- brugere
- ved brug af
- sædvanlig
- forsyningsselskaber
- nytte
- Værdifuld
- Ve
- sælger
- leverandører
- meget
- Victim
- synlighed
- ønsker
- var
- Vej..
- we
- web
- GODT
- Hvad
- Hvad er
- hvornår
- som
- mens
- WHO
- bred
- Wild
- villig
- vindue
- med
- inden for
- skrivning
- Du
- zephyrnet
- nul
- nul tillid