Da sich Angreifer zunehmend auf legitime Tools verlassen, um ihre böswilligen Aktivitäten zu verbergen, müssen Unternehmensverteidiger die Netzwerkarchitektur überdenken, um diese Angriffe zu erkennen und abzuwehren.
Diese als „Living Off the Land“ (LotL) bekannten Taktiken beziehen sich darauf, wie Angreifer native, legitime Werkzeuge in der Umgebung des Opfers nutzen, um ihre Angriffe durchzuführen. Wenn Angreifer neue Tools in die Umgebung einführen, indem sie ihre eigene Malware oder Tools verwenden, verursachen sie Lärm im Netzwerk. Dies erhöht die Möglichkeit, dass diese Tools Sicherheitsalarme auslösen und Verteidiger darauf aufmerksam machen könnten, dass sich eine unbefugte Person im Netzwerk aufhält und verdächtige Aktivitäten ausführt. Angreifer, die vorhandene Tools nutzen, machen es für Verteidiger schwieriger, böswillige Aktionen von legitimen Aktivitäten zu unterscheiden.
Um Angreifer dazu zu zwingen, mehr Lärm im Netzwerk zu verursachen, müssen IT-Sicherheitsverantwortliche das Netzwerk überdenken, damit es nicht mehr so einfach ist, sich im Netzwerk zu bewegen.
Identitäten sichern, Bewegungen einschränken
Ein Ansatz besteht darin, strenge Zugriffskontrollen anzuwenden und privilegierte Verhaltensanalysen zu überwachen, damit das Sicherheitsteam den Netzwerkverkehr und Zugriffsanfragen analysieren kann, die von seinen eigenen Tools stammen. „Zero Trust“ mit starken privilegierten Zugriffskontrollen – wie dem Prinzip der geringsten Privilegien – erschwert es Angreifern, sich im Netzwerk zu bewegen, sagt Joseph Carson, Chefsicherheitswissenschaftler und beratender CISO bei Delinea.
„Das zwingt sie dazu, Techniken zu verwenden, die mehr Rauschen und Wellen im Netzwerk erzeugen“, sagt er. „Es gibt IT-Verteidigern eine bessere Chance, unbefugten Zugriff viel früher im Angriff zu erkennen – bevor sie die Chance haben, schädliche Software oder Ransomware einzusetzen.“
Eine weitere Möglichkeit besteht darin, die Technologien Cloud Access Security Broker (CASB) und Secure Access Service Edge (SASE) in Betracht zu ziehen, um zu verstehen, wer (oder was) sich mit welchen Ressourcen und Systemen verbindet, was auf unerwartete oder verdächtige Netzwerkströme hinweisen kann. CASB-Lösungen sollen Sicherheit und Transparenz für Unternehmen bieten, die Cloud-Dienste und -Anwendungen einsetzen. Sie fungieren als Vermittler zwischen Endbenutzern und Cloud-Dienstanbietern und bieten eine Reihe von Sicherheitskontrollen an, darunter Data Loss Prevention (DLP), Zugriffskontrolle, Verschlüsselung und Bedrohungserkennung.
SASE ist ein Sicherheitsframework, das Netzwerksicherheitsfunktionen wie sichere Web-Gateways, Firewall-as-a-Service und Zero-Trust-Netzwerkzugriff mit Wide Area Network (WAN)-Funktionen wie SD-WAN (Software-Defined Wide Area Network) kombiniert ).
„Es sollte ein starker Fokus auf die Verwaltung der [LotL]-Angriffsfläche gelegt werden“, sagt Gareth Lindahl-Wise, CISO bei Ontinue. „Angreifer haben dort Erfolg, wo integrierte oder bereitgestellte Tools und Prozesse von zu vielen Endpunkten durch zu viele Identitäten genutzt werden können.“
Bei diesen Aktivitäten handelt es sich naturgemäß um Verhaltensanomalien. Daher ist es von entscheidender Bedeutung, zu verstehen, was überwacht und in Korrelationsplattformen eingespeist wird, sagt Lindahl-Wise. Teams sollten die Abdeckung von Endpunkten und Identitäten sicherstellen und diese dann im Laufe der Zeit mit Informationen zur Netzwerkkonnektivität anreichern. Die Untersuchung des Netzwerkverkehrs kann dabei helfen, andere Techniken aufzudecken, selbst wenn der Datenverkehr selbst verschlüsselt ist.
Ein evidenzbasierter Ansatz
Organisationen können und sollten einen evidenzbasierten Ansatz verfolgen, um zu priorisieren, welche Telemetriequellen sie verwenden, um Einblick in legitimen Missbrauch von Versorgungsleistungen zu erhalten.
„Die Kosten für die Speicherung größerer Protokollquellen sind ein sehr realer Faktor, aber die Ausgaben für Telemetrie sollten entsprechend den Quellen optimiert werden, die einen Einblick in die Bedrohungen geben, einschließlich missbrauchter Dienstprogramme, die in freier Wildbahn am häufigsten beobachtet werden und als relevant für das Unternehmen angesehen werden.“ „, sagt Scott Small, Director of Threat Intelligence bei Tidal Cyber.
Mehrere Community-Maßnahmen machen diesen Prozess praktischer als zuvor, darunter das Open-Source-Projekt „LOLBAS“, das die potenziell schädlichen Anwendungen von Hunderten wichtiger Dienstprogramme verfolgt, betont er.
Mittlerweile ermöglicht ein wachsender Ressourcenkatalog von MITRE ATT&CK, dem Center for Threat-Informed Defense, und Anbietern von Sicherheitstools die direkte Umsetzung derselben gegnerischen Verhaltensweisen in diskrete, relevante Daten- und Protokollquellen.
„Für die meisten Unternehmen ist es nicht praktikabel, jederzeit jede bekannte Protokollquelle vollständig zu verfolgen“, bemerkt Small. „Unsere Analyse der Daten aus dem LOBAS-Projekt zeigt, dass diese LotL-Dienstprogramme für praktisch jede Art von böswilliger Aktivität verwendet werden können.“
Diese reichen von der Umgehung der Verteidigung über die Eskalation von Privilegien, Persistenz, Zugang zu Anmeldeinformationen bis hin zu Exfiltration und Auswirkungen.
„Das bedeutet auch, dass es Dutzende diskreter Datenquellen gibt, die Aufschluss über den böswilligen Einsatz dieser Tools geben könnten – zu viel, um realistischerweise umfassend und über lange Zeiträume hinweg protokolliert zu werden“, sagt Small.
Eine genauere Analyse zeigt jedoch, wo es Clusterbildung (und eindeutige Quellen) gibt – beispielsweise sind nur sechs von 48 Datenquellen für mehr als drei Viertel (82 %) der LOLBAS-bezogenen Techniken relevant.
„Dies bietet die Möglichkeit, die Telemetrie direkt im Einklang mit Top-Living-Off-the-Land-Techniken oder bestimmten Techniken im Zusammenhang mit den Versorgungsunternehmen zu integrieren oder zu optimieren, die von der Organisation als höchste Priorität erachtet werden“, sagt Small.
Praktische Schritte für IT-Sicherheitsleiter
IT-Sicherheitsteams können viele praktische und sinnvolle Maßnahmen ergreifen, um Angreifer, die außerhalb des Landes leben, zu erkennen, solange sie Einblick in die Ereignisse haben.
„Während Netzwerktransparenz großartig ist, sind Ereignisse von Endpunkten – sowohl Workstations als auch Servern – bei richtiger Nutzung genauso wertvoll“, sagt Randy Pargman, Direktor für Bedrohungserkennung bei Proofpoint.
Beispielsweise besteht eine der LotL-Techniken, die in letzter Zeit von vielen Bedrohungsakteuren verwendet wird, darin, legitime Software zur Fernüberwachung und -verwaltung (RMM) zu installieren.
Die Angreifer bevorzugen RMM-Tools, weil sie vertrauenswürdig und digital signiert sind und keine Antivirus- oder Endpoint Detection and Response (EDR)-Warnungen auslösen. Außerdem sind sie einfach zu verwenden und die meisten RMM-Anbieter bieten eine kostenlose Testversion mit vollem Funktionsumfang an.
Der Vorteil für Sicherheitsteams besteht darin, dass alle RMM-Tools ein sehr vorhersehbares Verhalten aufweisen, einschließlich digitaler Signaturen, geänderter Registrierungsschlüssel, gesuchter Domänennamen und zu suchender Prozessnamen.
„Ich hatte große Erfolge bei der Erkennung der Nutzung von RMM-Tools durch Eindringlinge, indem ich einfach Erkennungssignaturen für alle frei verfügbaren RMM-Tools geschrieben und gegebenenfalls eine Ausnahme für das genehmigte Tool gemacht habe“, sagt Pargman.
Es ist hilfreich, wenn nur ein RMM-Anbieter zur Nutzung autorisiert ist und dieser immer auf die gleiche Weise installiert wird – etwa beim System-Image oder mit einem speziellen Skript –, sodass der Unterschied zwischen einer autorisierten und einer autorisierten Installation leicht zu erkennen ist Er fügt hinzu, dass ein Bedrohungsakteur einen Benutzer dazu verleitet, die Installation auszuführen.
„Es gibt viele andere Erkennungsmöglichkeiten wie diese, beginnend mit der Liste in LOLBAS“, sagt Pargman. „Durch die Ausführung von Abfragen zur Bedrohungssuche über alle Endpunktereignisse hinweg können Sicherheitsteams die Muster der normalen Nutzung in ihren Umgebungen ermitteln und dann benutzerdefinierte Warnmeldungsabfragen erstellen, um abnormale Nutzungsmuster zu erkennen.“
Es gibt auch Möglichkeiten, den Missbrauch integrierter Tools, die von Angreifern bevorzugt werden, einzuschränken, z. B. die Änderung des Standardprogramms zum Öffnen von Skriptdateien (Dateierweiterungen .js, .jse, .vbs, .vbe, .wsh usw.). dass sie bei einem Doppelklick nicht in WScript.exe geöffnet werden.
„Das trägt dazu bei, zu verhindern, dass Endbenutzer dazu verleitet werden, ein bösartiges Skript auszuführen“, sagt Pargman.
Reduzierung der Abhängigkeit von Anmeldeinformationen
Laut Rob Hughes, CIO von RSA, müssen Unternehmen ihre Abhängigkeit von Anmeldeinformationen beim Aufbau von Verbindungen verringern. Ebenso müssen Unternehmen bei anomalen und fehlgeschlagenen Versuchen und Ausreißern Alarme auslösen, um Sicherheitsteams Einblick in die Bereiche zu geben, in denen verschlüsselte Sichtbarkeit im Spiel ist. Das Verstehen, wie „normal“ und „gut“ in der Systemkommunikation aussehen, und das Erkennen von Ausreißern ist eine Möglichkeit, LotL-Angriffe zu erkennen.
Ein oft übersehener Bereich, der zunehmend mehr Aufmerksamkeit erhält, sind Dienstkonten, die tendenziell unreguliert und nur schwach geschützt sind und ein Hauptziel von Angriffen auf dem Land darstellen.
„Sie führen unsere Workloads im Hintergrund aus. Wir neigen dazu, ihnen zu vertrauen – wahrscheinlich zu sehr“, sagt Hughes. „Sie möchten auch für diese Konten Inventar-, Besitz- und starke Authentifizierungsmechanismen.“
Der letzte Teil kann schwieriger zu erreichen sein, da Dienstkonten nicht interaktiv sind und daher die üblichen Multifaktor-Authentifizierungsmechanismen (MFA), auf die Unternehmen bei Benutzern angewiesen sind, nicht im Spiel sind.
„Wie bei jeder Authentifizierung gibt es Stärkegrade“, sagt Hughes. „Ich würde empfehlen, einen starken Mechanismus zu wählen und sicherzustellen, dass Sicherheitsteams alle interaktiven Anmeldungen von einem Dienstkonto protokollieren und darauf reagieren. Das sollte nicht passieren.“
Angemessener Zeitaufwand erforderlich
Der Aufbau einer Sicherheitskultur muss nicht teuer sein, aber Sie brauchen eine willige Führung, die die Sache unterstützt und vertritt.
Laut Hughes ist die Zeitinvestition manchmal die größte Investition. Aber der Einsatz strenger Identitätskontrollen im gesamten Unternehmen muss im Vergleich zu der dadurch erzielten Risikoreduzierung kein kostspieliges Unterfangen sein.
„Sicherheit lebt von Stabilität und Konsistenz, aber wir können das in einem Geschäftsumfeld nicht immer kontrollieren“, sagt er. „Machen Sie kluge Investitionen in die Reduzierung technischer Schulden in Systemen, die nicht mit MFA oder starken Identitätskontrollen kompatibel sind oder kooperieren.“
Es kommt vor allem auf die Geschwindigkeit der Erkennung und Reaktion an, sagt Pargman.
„In so vielen Fällen, die ich untersucht habe, war der größte positive Unterschied für die Verteidiger die schnelle Reaktion eines aufmerksamen SecOps-Analysten, der etwas Verdächtiges bemerkte, nachforschte und den Einbruch entdeckte, bevor der Bedrohungsakteur die Möglichkeit hatte, sich auszubreiten ihren Einfluss“, sagt er.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :Ist
- :nicht
- :Wo
- $UP
- 7
- a
- abnorme
- LiveBuzz
- Missbrauch
- Zugang
- Nach
- Konto
- Trading Konten
- Erreichen
- über
- Handlung
- Aktionen
- Aktivitäten
- Aktivität
- Akteure
- Fügt
- ausreichend
- adoptieren
- Vorteil
- widersprüchlich
- beratend
- gegen
- Aufmerksam
- Warnmeldungen
- Alle
- erlauben
- ebenfalls
- immer
- an
- Analyse
- Analytiker
- Analytik
- analysieren
- und
- Anomalien
- Antivirus
- jedem
- Anwendungen
- Bewerben
- Ansatz
- genehmigt
- Architektur
- SIND
- Bereich
- um
- AS
- damit verbundenen
- At
- Attacke
- Anschläge
- Versuche
- Aufmerksamkeit
- Authentifizierung
- zugelassen
- verfügbar
- vermeiden
- Hintergrund
- BE
- weil
- Bevor
- Verhalten
- Verhaltens-
- Verhaltensweisen
- Sein
- Besser
- zwischen
- Größte
- beide
- Makler
- bauen
- eingebaut
- Geschäft
- aber
- by
- CAN
- Fähigkeiten
- tragen
- Tragen
- Fälle
- Katalog
- Verursachen
- Center
- Champion
- Chance
- Ändern
- Chef
- CIO
- KKV
- näher
- Cloud
- Cloud-Services
- Clustering
- Vereinigung
- Kommen
- Kommunikation
- community
- Vergleich
- kompatibel
- Sich zusammenschliessen
- Verbindungen
- Konnektivität
- Geht davon
- Smartgeräte App
- Steuerung
- Genossenschaft
- Korrelation
- Kosten
- könnte
- Berichterstattung
- erstellen
- KREDENTIAL
- Referenzen
- kritischem
- KULTUR
- Original
- Cyber-
- technische Daten
- Data Loss
- Schulden
- angenommen
- Standard
- Defenders
- Militär
- Einsatz
- Bereitstellen
- entworfen
- entdecken
- Entdeckung
- Unterschied
- digital
- digital
- Direkt
- Direktor
- do
- die
- doesn
- Dabei
- Domain
- DOMAIN NAMEN
- Dutzende
- im
- Früher
- Einfache
- Edge
- Bemühungen
- verschlüsselt
- Verschlüsselung
- Ende
- Unterfangen
- Endpunkt
- bereichern
- gewährleisten
- Unternehmen
- Arbeitsumfeld
- Umgebungen
- Eskalation
- etablieren
- etc
- Ausweichen
- Sogar
- Veranstaltungen
- Jedes
- Beispiel
- Ausnahme
- Exfiltration
- existieren
- vorhandenen
- Erweitern Sie die Funktionalität der
- teuer
- Erweiterungen
- Faktor
- Gescheitert
- Favor
- funktions
- Fütterung
- Reichen Sie das
- Mappen
- Finden Sie
- Fließt
- Setzen Sie mit Achtsamkeit
- Aussichten für
- Zwingen
- Streitkräfte
- gefunden
- Unser Ansatz
- Frei
- die kostenlose Testversion.
- frei
- für
- voll
- Funktionen
- Gewinnen
- Gateways
- bekommen
- GitHub
- ABSICHT
- gibt
- gut
- groß
- persönlichem Wachstum
- hätten
- Los
- Schwerer
- Haben
- he
- Hilfe
- hilft
- Verbergen
- höchste
- Hervorheben
- Ultraschall
- HTTPS
- hunderte
- i
- Identifizierung
- Identitäten
- Identitätsschutz
- if
- Imaging
- Impact der HXNUMXO Observatorien
- in
- Einschließlich
- auch digital
- zunehmend
- beeinflussen
- Information
- installieren
- Installation
- installiert
- Intelligenz
- interaktive
- Intermediäre
- in
- einführen
- Inventar
- Investition
- Investments
- IT
- es Sicherheit
- selbst
- jpg
- nur
- Wesentliche
- Tasten
- bekannt
- Land
- höchste
- Nachname
- Führung
- Leadership
- am wenigsten
- legitim
- Gefällt mir
- wahrscheinlich
- LIMIT
- Begrenzung
- Line
- Liste
- Leben
- Log
- Lang
- aussehen
- aussehen wie
- sah
- Verlust
- Los
- gemacht
- um
- MACHT
- Making
- böswilligen
- Malware
- Management
- flächendeckende Gesundheitsprogramme
- viele
- Mittel
- Mechanismus
- Mechanismen
- MFA
- geändert
- Überwachen
- überwacht
- Überwachung
- mehr
- vor allem warme
- schlauer bewegen
- Bewegungen
- ziehen um
- viel
- Multifaktor-Authentifizierung
- sollen
- Namen
- nativen
- Natur
- Need
- Netzwerk
- Netzwerksicherheit
- Netzwerktraffic
- Neu
- Lärm
- normal
- Notizen
- of
- WOW!
- bieten
- vorgenommen,
- on
- Onboard
- EINEM
- Einsen
- einzige
- XNUMXh geöffnet
- Open-Source-
- Entwicklungsmöglichkeiten
- Optimieren
- optimiert
- Option
- or
- Auftrag
- Organisation
- Organisationen
- Andere
- UNSERE
- übrig
- besitzen
- Eigentum
- Teil
- besondere
- Muster
- Zeiträume
- Beharrlichkeit
- Kommissionierung
- Plattformen
- Plato
- Datenintelligenz von Plato
- PlatoData
- Play
- erfahren
- Punkte
- positiv
- Möglichkeit
- möglicherweise
- Praktisch
- praktisch
- Vorhersagbar
- bevorzugen
- abwehr
- Prime
- Prinzip
- Priorisierung
- Prioritätsliste
- Privileg
- privilegiert
- Prozessdefinierung
- anpassen
- Programm
- Projekt
- geschützt
- die
- Anbieter
- bietet
- Abfragen
- Direkt
- erhöhen
- wirft
- Angebot
- Ransomware
- echt
- vernünftig
- kürzlich
- empfehlen
- Neugestaltung
- Veteran
- Reduzierung
- Reduktion
- siehe
- Registratur
- relevant
- Vertrauen
- verlassen
- sich auf
- entfernt
- Zugriffe
- falls angefordert
- Downloads
- Reagieren
- Antwort
- Wellen
- Risiko
- rauben
- robust
- rsa
- Führen Sie
- Laufen
- s
- gleich
- sagt
- Wissenschaftler
- scott
- Skript
- Verbindung
- Sicherung
- Sicherheitdienst
- getrennte
- Fertige Server
- Dienstleister
- Lösungen
- kompensieren
- sollte
- Konzerte
- Unterschriften
- unterzeichnet
- einfach
- SIX
- klein
- smart
- So
- Software
- Lösungen
- einige
- Jemand,
- etwas
- manchmal
- Quelle
- Quellen
- besondere
- Geschwindigkeit
- verbringen
- Sponsored
- Stabilität
- Beginnen Sie
- Shritte
- Speicherung
- Stärke
- stark
- Erfolg haben
- Erfolg
- so
- Support
- sicher
- Oberfläche
- misstrauisch
- System
- Systeme und Techniken
- Taktik
- Nehmen
- Target
- Team
- Teams
- Technische
- Techniken
- Technologies
- erzählen
- Neigen
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- Sie
- dann
- Dort.
- Diese
- vom Nutzer definierten
- Ding
- fehlen uns die Worte.
- diejenigen
- Bedrohung
- Bedrohungsakteure
- Bedrohungen
- gedeiht
- während
- Zeit
- zu
- auch
- Werkzeug
- Werkzeuge
- Top
- verfolgen sind
- Spuren
- der Verkehr
- Versuch
- ausgetrickst
- auslösen
- Vertrauen
- vertraut
- tippe
- unbefugt
- aufdecken
- verstehen
- Verständnis
- Unerwartet
- einzigartiges
- -
- benutzt
- Mitglied
- Nutzer
- Verwendung von
- üblich
- Dienstprogramme
- Nutzen
- wertvoll
- Ve
- Verkäufer
- Anbieter
- sehr
- Opfer
- Sichtbarkeit
- wollen
- wurde
- Weg..
- we
- Netz
- GUT
- Was
- Was ist
- wann
- welche
- während
- WHO
- breit
- Wild
- bereit
- Fenster
- mit
- .
- Schreiben
- Du
- Zephyrnet
- Null
- null vertrauen