Dado que los adversarios dependen cada vez más de herramientas legítimas para ocultar sus actividades maliciosas, los defensores empresariales tienen que repensar la arquitectura de la red para detectar y defenderse de estos ataques.
Conocidas como “vivir de la tierra” (LotL), estas tácticas se refieren a cómo los adversarios utilizan herramientas nativas y legítimas dentro del entorno de la víctima para llevar a cabo sus ataques. Cuando los atacantes introducen nuevas herramientas en el entorno utilizando su propio malware o herramientas, crean algo de ruido en la red. Eso plantea la posibilidad de que esas herramientas puedan activar alarmas de seguridad y alertar a los defensores de que alguien no autorizado está en la red y está llevando a cabo actividades sospechosas. Los atacantes que utilizan herramientas existentes dificultan que los defensores separe las acciones maliciosas de la actividad legítima.
Para obligar a los atacantes a crear más ruido en la red, los líderes de seguridad de TI deben repensar la red para que moverse por ella no sea tan fácil.
Asegurar identidades, limitar movimientos
Un enfoque es aplicar fuertes controles de acceso y monitorear análisis de comportamiento privilegiado para que el equipo de seguridad pueda analizar el tráfico de la red y las solicitudes de acceso provenientes de sus propias herramientas. La confianza cero con fuertes controles de acceso privilegiado (como el principio de privilegio mínimo) dificulta que los atacantes se muevan por la red, afirma Joseph Carson, científico jefe de seguridad y CISO asesor de Delinea.
"Esto los obliga a utilizar técnicas que crean más ruido y ondulaciones en la red", afirma. "Ofrece a los defensores de TI una mejor oportunidad de detectar el acceso no autorizado mucho antes en el ataque, antes de que tengan la oportunidad de implementar software malicioso o ransomware".
Otra es considerar las tecnologías de agente de seguridad de acceso a la nube (CASB) y de borde de servicio de acceso seguro (SASE) para comprender quién (o qué) se está conectando a qué recursos y sistemas, lo que puede resaltar flujos de red inesperados o sospechosos. Las soluciones CASB están diseñadas para brindar seguridad y visibilidad a las organizaciones que adoptan servicios y aplicaciones en la nube. Actúan como intermediarios entre los usuarios finales y los proveedores de servicios en la nube, ofreciendo una variedad de controles de seguridad, incluida la prevención de pérdida de datos (DLP), control de acceso, cifrado y detección de amenazas.
SASE es un marco de seguridad que combina funciones de seguridad de red, como puertas de enlace web seguras, firewall como servicio y acceso a la red de confianza cero, con capacidades de red de área amplia (WAN) como SD-WAN (red de área amplia definida por software). ).
"Debería haber un fuerte enfoque en la gestión de la superficie de ataque [LotL]", afirma Gareth Lindahl-Wise, CISO de Ontinue. "Los atacantes tienen éxito cuando demasiadas identidades pueden utilizar herramientas y procesos integrados o implementados desde demasiados puntos finales".
Estas actividades, por su naturaleza, son anomalías de comportamiento, por lo que es fundamental comprender qué se está monitoreando y alimentar las plataformas de correlación, dice Lindahl-Wise. Los equipos deben garantizar la cobertura desde los puntos finales y las identidades y luego, con el tiempo, enriquecerla con información de conectividad de red. La inspección del tráfico de red puede ayudar a descubrir otras técnicas, incluso si el tráfico en sí está cifrado.
Un enfoque basado en la evidencia
Las organizaciones pueden y deben adoptar un enfoque basado en evidencia para priorizar qué fuentes de telemetría utilizan para ganar visibilidad sobre el abuso legítimo de los servicios públicos.
“El costo de almacenar fuentes de registros de mayor volumen es un factor muy real, pero el gasto en telemetría debe optimizarse de acuerdo con las fuentes que brindan una ventana a las amenazas, incluidas las utilidades abusadas, que se observan con mayor frecuencia en la naturaleza y se consideran relevantes para la organización. ”, dice Scott Small, director de inteligencia de amenazas de Tidal Cyber.
Múltiples esfuerzos comunitarios hacen que este proceso sea más práctico que antes, incluido el proyecto de código abierto "LOLBAS", que rastrea las aplicaciones potencialmente maliciosas de cientos de utilidades clave, señala.
Mientras tanto, un catálogo cada vez mayor de recursos de MITRE ATT&CK, el Centro de Defensa Informada contra Amenazas y proveedores de herramientas de seguridad permiten traducir esos mismos comportamientos adversarios directamente en fuentes de registros y datos discretos y relevantes.
"No es práctico para la mayoría de las organizaciones realizar un seguimiento completo de cada fuente de registro conocida en todo momento", señala Small. "Nuestro análisis de los datos del proyecto LOBAS muestra que estas utilidades LotL se pueden utilizar para llevar a cabo prácticamente todo tipo de actividad maliciosa".
Estos van desde la evasión de defensa hasta la escalada de privilegios, la persistencia, el acceso a credenciales e incluso la exfiltración y el impacto.
"Esto también significa que hay docenas de fuentes de datos discretas que podrían dar visibilidad al uso malicioso de estas herramientas; demasiadas para registrarlas de manera realista y exhaustiva durante largos períodos de tiempo", afirma Small.
Sin embargo, un análisis más detallado muestra dónde existen agrupaciones (y fuentes únicas); por ejemplo, solo seis de 48 fuentes de datos son relevantes para más de las tres cuartas partes (82%) de las técnicas relacionadas con LOLBAS.
"Esto brinda oportunidades para incorporar u optimizar la telemetría directamente en línea con las mejores técnicas de vida fuera de la tierra, o con técnicas particulares asociadas con los servicios públicos que la organización considera de mayor prioridad", dice Small.
Pasos prácticos para líderes de seguridad de TI
Los equipos de seguridad de TI pueden tomar muchas medidas prácticas y razonables para detectar atacantes que viven fuera de la tierra, siempre que tengan visibilidad de los eventos.
"Si bien es fantástico tener visibilidad de la red, los eventos de los puntos finales (tanto estaciones de trabajo como servidores) son igualmente valiosos si se usan bien", afirma Randy Pargman, director de detección de amenazas en Proofpoint.
Por ejemplo, una de las técnicas LotL utilizadas recientemente por muchos actores de amenazas es instalar software legítimo de administración y monitoreo remoto (RMM).
Los atacantes prefieren las herramientas RMM porque son confiables, están firmadas digitalmente y no activan alertas de antivirus o de detección y respuesta de endpoints (EDR), además son fáciles de usar y la mayoría de los proveedores de RMM tienen una opción de prueba gratuita con todas las funciones.
La ventaja para los equipos de seguridad es que todas las herramientas RMM tienen un comportamiento muy predecible, incluidas firmas digitales, claves de registro que se modifican, nombres de dominio que se buscan y nombres de procesos que se buscan.
"He tenido un gran éxito al detectar el uso de herramientas RMM por parte de intrusos simplemente escribiendo firmas de detección para todas las herramientas RMM disponibles gratuitamente y haciendo una excepción para la herramienta aprobada, si corresponde", dice Pargman.
Es útil que solo se autorice el uso de un proveedor de RMM y que siempre se instale de la misma manera (por ejemplo, durante la creación de imágenes del sistema o con un script especial) para que sea fácil distinguir entre una instalación autorizada y una. El actor de amenazas engaña a un usuario para que ejecute la instalación, añade.
“Hay muchas otras oportunidades de detección como esta, comenzando con la lista en LOLBÁS”, dice Pargman. "Al ejecutar consultas de búsqueda de amenazas en todos los eventos de endpoints, los equipos de seguridad pueden encontrar los patrones de uso normal en sus entornos y luego crear consultas de alerta personalizadas para detectar patrones de uso anormales".
También existen oportunidades para limitar el abuso de las herramientas integradas que prefieren los atacantes, como cambiar el programa predeterminado utilizado para abrir archivos de secuencias de comandos (extensiones de archivo .js, .jse, .vbs, .vbe, .wsh, etc.) para que que no se abren en WScript.exe al hacer doble clic.
"Eso ayuda a evitar que se engañe a los usuarios finales para que ejecuten un script malicioso", afirma Pargman.
Reducir la dependencia de las credenciales
Las organizaciones necesitan reducir su dependencia de las credenciales para establecer conexiones, según Rob Hughes, CIO de RSA. Del mismo modo, las organizaciones deben generar alertas sobre intentos anómalos y fallidos y valores atípicos para brindar a los equipos de seguridad visibilidad sobre dónde está en juego la visibilidad cifrada. Comprender cómo se ven lo "normal" y lo "bueno" en las comunicaciones de los sistemas e identificar valores atípicos es una forma de detectar ataques LotL.
Un área que a menudo se pasa por alto y que está empezando a recibir mucha más atención son las cuentas de servicios, que tienden a no estar reguladas, estar débilmente protegidas y ser un objetivo principal para vivir de los ataques terrestres.
“Ejecutan nuestras cargas de trabajo en segundo plano. Tendemos a confiar en ellos, probablemente demasiado”, afirma Hughes. "También es necesario contar con inventario, propiedad y mecanismos de autenticación sólidos en estas cuentas".
La última parte puede ser más difícil de lograr porque las cuentas de servicio no son interactivas, por lo que los mecanismos habituales de autenticación multifactor (MFA) en los que confían las organizaciones con los usuarios no están en juego.
"Como cualquier autenticación, existen grados de solidez", dice Hughes. “Recomendaría elegir un mecanismo sólido y asegurarse de que los equipos de seguridad registren y respondan a cualquier inicio de sesión interactivo desde una cuenta de servicio. Eso no debería estar sucediendo”.
Se requiere una inversión de tiempo adecuada
Crear una cultura de seguridad no tiene por qué ser costoso, pero se necesita un liderazgo dispuesto a apoyar y defender la causa.
La inversión de tiempo es a veces la mayor inversión que se puede hacer, afirma Hughes. Pero implementar fuertes controles de identidad en toda la organización no tiene por qué ser una tarea costosa en comparación con la reducción del riesgo que se logra al hacerlo.
"La seguridad se nutre de la estabilidad y la coherencia, pero no siempre podemos controlar eso en un entorno empresarial", afirma. "Hacer inversiones inteligentes para reducir la deuda técnica en sistemas que no son compatibles o no cooperan con la MFA o controles de identidad estrictos".
Todo es cuestión de velocidad de detección y respuesta, afirma Pargman.
“En muchos casos que he investigado, lo que marcó la mayor diferencia positiva para los defensores fue una respuesta rápida de un analista alerta de SecOps que notó algo sospechoso, investigó y encontró la intrusión antes de que el actor de la amenaza tuviera la oportunidad de expandirse. su influencia”, afirma.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :es
- :no
- :dónde
- $ UP
- 7
- a
- anormal
- Nuestra Empresa
- abuso
- de la máquina
- Conforme
- Mi Cuenta
- Cuentas
- Lograr
- a través de
- Actúe
- acciones
- actividades
- actividad
- los actores
- Añade
- adecuado
- adoptar
- Ventaja
- adversario
- asesor
- en contra
- Alertar
- Alertas
- Todos
- permitir
- también
- hacerlo
- an
- análisis
- analista
- Analytics
- analizar
- y
- anomalías
- antivirus
- cualquier
- aplicaciones
- Aplicá
- enfoque
- aprobado
- arquitectura
- somos
- Reservada
- en torno a
- AS
- asociado
- At
- atacar
- ataques
- Los intentos
- Autenticación
- autorizado
- Hoy Disponibles
- evitar
- fondo
- BE
- porque
- antes
- comportamiento
- en el comportamiento
- comportamientos
- "Ser"
- mejores
- entre
- Mayor
- ambas
- corredor
- build
- incorporado
- pero
- by
- PUEDEN
- capacidades
- llevar
- .
- cases
- catalogar
- Causa
- Reubicación
- campeón
- oportunidad
- cambio
- jefe
- CIO
- CISO
- más cerca
- Soluciones
- servicios en la nube
- clustering
- combinar
- viniendo
- Comunicaciónes
- vibrante e inclusiva
- comparación
- compatible
- Conectándote
- Conexiones
- Conectividad
- Considerar
- control
- controles
- cooperativa
- La correlación
- Cost
- podría
- cobertura
- Para crear
- CREDENCIAL
- Referencias
- crítico
- Cultura
- personalizado
- ciber
- datos
- De pérdida de datos
- Deuda
- juzgado
- Predeterminado
- los defensores
- Defensa
- desplegado
- Desplegando
- diseñado
- detectar
- Detección
- un cambio
- digital
- digitalmente
- directamente
- Director
- do
- sí
- doesn
- "Hacer"
- dominio
- NOMBRES DE DOMINIO
- decenas
- durante
- Más temprano
- de forma sencilla
- Southern Implants
- esfuerzos
- cifrado
- cifrado
- final
- limpia
- Punto final
- enriquecer
- garantizar
- Empresa
- Entorno
- ambientes
- escalada
- establecer
- etc.
- evasión
- Incluso
- Eventos
- Cada
- ejemplo
- excepción
- exfiltración
- existe
- existente
- Expandir
- costoso
- extensiones
- factor
- Fallidos
- Favorecer
- destacado
- alimentación
- Archive
- archivos
- Encuentre
- Flujos
- Focus
- FORCE
- Fuerzas
- encontrado
- Marco conceptual
- Gratuito
- prueba gratuita.
- sin restricciones
- Desde
- completamente
- funciones
- Obtén
- pasarelas
- obtener
- GitHub
- Donar
- da
- candidato
- maravillosa
- Creciendo
- tenido
- En Curso
- más fuerte
- Tienen
- he
- ayuda
- ayuda
- Esconder
- más alto
- Destacar
- Cómo
- HTTPS
- Cientos
- i
- identificar
- identidades
- Identidad
- if
- Proyección de imagen
- Impacto
- in
- Incluye
- incluyendo digitales
- cada vez más
- influir
- información
- instalar
- instalación
- instalado
- Intelligence
- interactivo
- intermediarios
- dentro
- introducir
- inventario
- inversión extranjera
- Inversiones
- IT
- seguridad informatica
- sí mismo
- jpg
- solo
- Clave
- claves
- conocido
- CARGA TERRESTRE
- mayor
- Apellido
- los líderes
- Liderazgo
- menos
- legítima
- como
- que otros
- LIMITE LAS
- limitar
- línea
- Lista
- alga viva
- log
- Largo
- Mira
- parece
- miró
- de
- Lote
- hecho
- para lograr
- HACE
- Realizar
- malicioso
- el malware
- Management
- administrar
- muchos
- significa
- mecanismo
- los mecanismos de
- MFA
- modificado
- Monitorear
- monitoreado
- monitoreo
- más,
- MEJOR DE TU
- movimiento
- movimientos
- emocionante
- mucho más
- autenticación multifactor
- debe
- nombres
- nativo
- Naturaleza
- ¿ Necesita ayuda
- del sistema,
- Red de Seguridad
- tráfico de red
- Nuevo
- ruido
- normal
- Notas
- of
- off
- que ofrece
- a menudo
- on
- A bordo
- ONE
- las
- , solamente
- habiertos
- de código abierto
- Del Mañana
- Optimización
- optimizado
- Optión
- or
- solicite
- organización
- para las fiestas.
- Otro
- nuestros
- salir
- Más de
- EL DESARROLLADOR
- propiedad
- parte
- particular
- .
- períodos
- persistencia
- recolección
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- Jugar
- más
- puntos
- positivo
- posibilidad
- la posibilidad
- Metodología
- prácticamente
- Previsible
- preferir
- Prevención
- Prime
- principio
- priorización
- lista de prioridades
- privilegio
- privilegiado
- en costes
- Programa
- proyecto
- protegido
- proporcionar
- los proveedores
- proporciona un
- consultas
- Búsqueda
- aumento
- plantea
- distancia
- ransomware
- real
- mejor
- recientemente
- recomiendan
- rediseñar
- reducir
- la reducción de
- reducción
- remitir
- registro
- dependencia
- confiar
- confiando
- sanaciones
- solicitudes
- Requisitos
- Recursos
- Responder
- respuesta
- ondas
- Riesgo
- robar
- robusto
- rsa
- Ejecutar
- correr
- s
- mismo
- dice
- Científico
- scott
- guión
- seguro
- asegurar
- EN LINEA
- separado
- Servidores
- de coches
- proveedores de servicios
- Servicios
- set
- tienes
- Shows
- Firmas
- firmado
- simplemente
- SEIS
- chica
- inteligente
- So
- Software
- Soluciones
- algo
- Alguien
- algo
- a veces
- Fuente
- Fuentes
- especial
- velocidad
- pasar
- Patrocinado
- Estabilidad
- Comience a
- pasos
- almacenamiento
- fuerza
- fuerte
- tener éxito
- comercial
- tal
- SOPORTE
- seguro
- Superficie
- suspicaz
- te
- Todas las funciones a su disposición
- táctica
- ¡Prepárate!
- Target
- equipo
- equipos
- Técnico
- técnicas
- Tecnologías
- les digas
- tender
- que
- esa
- La
- su
- Les
- luego
- Ahí.
- Estas
- ellos
- cosa
- así
- aquellos
- amenaza
- actores de amenaza
- amenazas
- prospera
- a lo largo de
- equipo
- a
- demasiado
- del IRS
- parte superior
- seguir
- pistas
- tráfico
- juicio
- engañado
- detonante
- Confía en
- de confianza
- tipo
- no autorizado
- descubrir
- entender
- comprensión
- Inesperado
- único
- utilizan el
- usado
- Usuario
- usuarios
- usando
- usual
- utilidades
- utilidad
- Valioso
- Ve
- vendedor
- vendedores
- muy
- Víctima
- la visibilidad
- quieres
- fue
- Camino..
- we
- web
- WELL
- ¿
- Que es
- cuando
- que
- mientras
- QUIENES
- amplio
- Wild
- dispuestas
- ventana
- dentro de
- la escritura
- Usted
- zephyrnet
- cero
- cero confianza