Kuna vastased toetuvad üha enam oma pahatahtliku tegevuse varjamiseks legitiimsetele vahenditele, peavad ettevõtte kaitsjad võrguarhitektuuri ümber mõtlema, et neid ründeid tuvastada ja nende eest kaitsta.
Need taktikad, mida tuntakse kui "maalt elamist" (LotL), viitavad sellele, kuidas vastased kasutavad oma rünnakute läbiviimiseks ohvri keskkonnas omapäraseid seaduslikke tööriistu. Kui ründajad oma pahavara või tööriistade abil keskkonda uusi tööriistu tutvustavad, tekitavad nad võrgus müra. See suurendab võimalust, et need tööriistad võivad käivitada turvahäireid ja hoiatada kaitsjaid, et keegi volitamata on võrgus ja teeb kahtlast tegevust. Olemasolevaid tööriistu kasutavad ründajad raskendavad kaitsjatel pahatahtlikku tegevust seaduslikust tegevusest eraldada.
Et sundida ründajaid võrgus rohkem müra tekitama, peavad IT-turbe juhid võrgu ümber mõtlema, et võrgus liikumine poleks nii lihtne.
Identiteedi kindlustamine, liikumiste piiramine
Üks lähenemisviis on rakendada tugevaid juurdepääsukontrolle ja jälgida privilegeeritud käitumise analüüse, et turvameeskond saaks analüüsida võrguliiklust ja juurdepääsutaotlusi, mis tulevad nende enda tööriistadest. Null usalduse ja tugeva privilegeeritud juurdepääsukontrolliga (nt vähima privileegiga põhimõte) muudab ründajate võrgus liikumise raskemaks, ütleb Delinea turvateadlane ja CISO nõustaja Joseph Carson.
"See sunnib neid kasutama tehnikaid, mis tekitavad võrgus rohkem müra ja lainetust, " ütleb ta. "See annab IT-kaitsjatele parema võimaluse tuvastada volitamata juurdepääs palju varem rünnaku ajal – enne, kui neil on võimalus ründetarkvara või lunavara juurutada."
Teine võimalus on kaaluda pilve juurdepääsu turbevahendaja (CASB) ja turvalise juurdepääsu teenuse serva (SASE) tehnoloogiaid, et mõista, kes (või mis) milliste ressursside ja süsteemidega ühendab, mis võib esile tuua ootamatud või kahtlased võrguvood. CASB-lahendused on loodud pakkuma turvalisust ja nähtavust organisatsioonidele, kes kasutavad pilveteenuseid ja -rakendusi. Nad tegutsevad vahendajatena lõppkasutajate ja pilveteenuse pakkujate vahel, pakkudes erinevaid turvakontrolle, sealhulgas andmekao vältimist (DLP), juurdepääsu kontrolli, krüptimist ja ohtude tuvastamist.
SASE on turberaamistik, mis ühendab võrgu turvafunktsioonid, nagu turvalised veebilüüsid, tulemüür kui teenus ja null-usaldusvaba võrgujuurdepääs, laivõrgu (WAN) võimalustega, nagu SD-WAN (tarkvaraga määratletud laivõrk). ).
"Praegu tuleks keskenduda [LotL] rünnakupinna haldamisele," ütleb Gareth Lindahl-Wise, Ontinue CISO. "Ründajad saavad hakkama, kui sisseehitatud või juurutatud tööriistu ja protsesse saab kasutada liiga paljudest lõpp-punktidest liiga paljude identiteetide poolt."
Need tegevused on oma olemuselt käitumuslikud anomaaliad, nii et jälgitava mõistmine ja korrelatsiooniplatvormidele sisestamine on ülioluline, ütleb Lindahl-Wise. Meeskonnad peaksid tagama lõpp-punktide ja identiteetide katvuse ning rikastama seda aja jooksul võrguühenduse teabega. Võrguliikluse kontroll võib aidata avastada muid tehnikaid, isegi kui liiklus ise on krüpteeritud.
Tõenduspõhine lähenemine
Organisatsioonid saavad ja peaksid kasutama tõenditel põhinevat lähenemisviisi, et seada prioriteediks, milliseid telemeetriaallikaid nad kasutavad, et saada nähtavaks kommunaalteenuste seaduslik kuritarvitamine.
"Suuremahuliste logiallikate salvestamise kulud on väga reaalne tegur, kuid telemeetriale tehtud kulutusi tuleks optimeerida vastavalt allikatele, mis annavad ülevaate ohtudest, sealhulgas kuritarvitatud kommunaalteenustest, mida kõige sagedamini täheldatakse looduses ja mida peetakse organisatsiooni jaoks oluliseks. ,” ütleb Tidal Cyberi ohuluure direktor Scott Small.
Mitmed kogukonna jõupingutused muudavad selle protsessi senisest praktilisemaks, sealhulgas avatud lähtekoodiga projekt "LOLBAS", mis jälgib sadade peamiste utiliitide potentsiaalselt pahatahtlikke rakendusi, juhib ta tähelepanu.
Samal ajal võimaldab MITER ATT&CK, ohuteadliku kaitse keskuse ja turbetööriistade tarnijate kasvav ressursside kataloog tõlkida samad vastandlikud käitumised otse diskreetsetesse, asjakohastesse andmetesse ja logiallikatesse.
"Enamiku organisatsioonide jaoks ei ole otstarbekas kogu aeg kõiki teadaolevaid logiallikaid täielikult jälgida," märgib Small. "Meie LOBAS-projekti andmete analüüs näitab, et neid LotL-i utiliite saab kasutada praktiliselt igat tüüpi pahatahtliku tegevuse läbiviimiseks."
Need ulatuvad kaitsest kõrvalehoidmisest privileegide suurendamise, püsivuse, mandaadile juurdepääsu ja isegi väljafiltreerimise ja mõjuni.
"See tähendab ka kümneid diskreetseid andmeallikaid, mis võivad anda ülevaate nende tööriistade pahatahtlikust kasutamisest – liiga palju, et kõikehõlmavalt ja pika aja jooksul realistlikult logida," ütleb Small.
Lähem analüüs näitab aga, kus on olemas rühmitamine (ja ainulaadsed allikad) – näiteks vaid kuus 48 andmeallikast on asjakohased enam kui kolmveerandi (82%) LOLBASiga seotud tehnikate jaoks.
"See annab võimaluse telemeetria kasutamiseks või optimeerimiseks otse kooskõlas parimate maavälise elamise tehnikatega või konkreetsete tehnikatega, mis on seotud kommunaalteenustega, mida organisatsioon peab kõige olulisemaks," ütleb Small.
Praktilised sammud IT-turbe juhtide jaoks
IT-turbemeeskonnad saavad astuda palju praktilisi ja mõistlikke samme, et tuvastada maal elavaid ründajaid, kui neil on sündmustele nähtavus.
"Kuigi võrgu nähtavus on suurepärane, on lõpp-punktidest (nii tööjaamadest kui ka serveritest) pärinevad sündmused sama väärtuslikud, kui neid hästi kasutatakse," ütleb Proofpointi ohutuvastuse direktor Randy Pargman.
Näiteks üks LotL-i tehnikatest, mida paljud ohus osalejad on hiljuti kasutanud, on legitiimse kaugseire- ja kaughaldustarkvara (RMM) installimine.
Ründajad eelistavad RMM-i tööriistu, kuna need on usaldusväärsed, digitaalselt allkirjastatud ega anna viirusetõrje ega lõpp-punkti tuvastamise ja reageerimise (EDR) hoiatusi, lisaks on neid lihtne kasutada ja enamikul RMM-i tarnijatel on täisfunktsionaalne tasuta prooviversioon.
Turvameeskondade eeliseks on see, et kõigil RMM-tööriistadel on väga etteaimatav käitumine, sealhulgas digitaalallkirjad, muudetud registrivõtmed, otsitavad domeeninimed ja protsessinimed, mida otsida.
"Mul on olnud suur edu RMM-tööriistade sissetungijate tuvastamisel, lihtsalt kirjutades kõigile vabalt saadaolevatele RMM-tööriistadele tuvastussignatuurid ja tehes heakskiidetud tööriistale erandi, kui see on olemas," ütleb Pargman.
See aitab, kui ainult ühte RMM-i tarnijat on lubatud kasutada ja kui see installitakse alati samal viisil – näiteks süsteemi kujutise ajal või spetsiaalse skriptiga –, nii et volitatud installi ja installimise vahel on lihtne vahet teha. ohunäitleja, kes petab kasutaja installi käivitama, lisab ta.
"Just niisuguseid tuvastamisvõimalusi on palju, alustades loendist LOLBAS"ütleb Pargman. "Kõigi lõpp-punkti sündmuste puhul ohuotsingute päringuid käitades saavad turvameeskonnad leida oma keskkondades tavapärase kasutuse mustrid ja seejärel koostada kohandatud hoiatuspäringuid, et tuvastada ebatavalisi kasutusmustreid."
Samuti on võimalusi piirata sisseehitatud tööriistade kuritarvitamist, mida ründajad eelistavad, näiteks muuta skriptifailide avamiseks kasutatavat vaikeprogrammi (faililaiendid .js, .jse, .vbs, .vbe, .wsh jne). et need ei avane failis WScript.exe, kui neid topeltklõpsata.
"See aitab vältida lõppkasutajate petmist pahatahtlikku skripti käivitama, " ütleb Pargman.
Mandaatidele sõltuvuse vähendamine
RSA CIO Rob Hughesi sõnul peavad organisatsioonid ühenduste loomisel vähendama oma sõltuvust mandaatidest. Samuti peavad organisatsioonid teavitama anomaalsetest ja ebaõnnestunud katsetest ning kõrvalekalletest, et anda turvameeskondadele nähtavus selle kohta, kus krüptitud nähtavus on mängus. LotL-i rünnakute tuvastamise viis on mõista, kuidas süsteemisuhtlus "tavaline" ja "hea" välja näeb, ja kõrvalekallete tuvastamine.
Tihti tähelepanuta jäetud valdkond, millele on hakatud palju rohkem tähelepanu pöörama, on teenusekontod, mis kipuvad olema reguleerimata, nõrgalt kaitstud ja maapealsete rünnakute tõttu elamise peamine sihtmärk.
"Nad juhivad meie töökoormust taustal. Me kipume neid usaldama - tõenäoliselt liiga palju, " ütleb Hughes. "Soovite ka nendel kontodel laoseisu, omandiõigust ja tugevaid autentimismehhanisme."
Viimast osa võib olla raskem saavutada, kuna teenusekontod ei ole interaktiivsed, nii et tavapärased mitmefaktorilise autentimise (MFA) mehhanismid, millele organisatsioonid kasutajatega loodavad, pole mängus.
"Nagu iga autentimine, on ka tugevusastmeid, " ütleb Hughes. „Soovitan valida tugeva mehhanismi ja tagada, et turvameeskonnad logiksid sisse ja reageeriksid interaktiivsetele sisselogimistele teenusekontolt. Neid ei tohiks juhtuda."
Nõutav piisav ajainvesteering
Turvakultuuri ülesehitamine ei pea olema kulukas, kuid selleks on vaja valmis juhtimist, et seda eesmärki toetada ja toetada.
Ajasse investeerimine on mõnikord suurim investeering, ütleb Hughes. Kuid tugeva identiteedikontrolli kulutamine kogu organisatsioonis ja kogu organisatsioonis ei pea olema kallis ettevõtmine võrreldes sellega saavutatava riski vähendamisega.
"Turvalisus areneb stabiilsuse ja järjepidevuse tõttu, kuid me ei saa seda ärikeskkonnas alati kontrollida," ütleb ta. "Tehke nutikaid investeeringuid tehniliste võlgade vähendamiseks süsteemides, mis ei ühildu makromajandusliku finantsabi või tugeva identiteedikontrolliga või ei ole nendega koostööd teinud."
Asi on tuvastamise ja reageerimise kiiruses, ütleb Pargman.
"Nii paljudel juhtudel, mida olen uurinud, oli kaitsjate jaoks kõige suurema positiivse tulemuse teinud kiire reageerimine valvsalt SecOpsi analüütikult, kes märkas midagi kahtlast, uuris ja leidis sissetungi enne, kui ohus osaleja sai võimaluse laieneda. nende mõju," ütleb ta.
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :on
- :mitte
- : kus
- $ UP
- 7
- a
- ebanormaalne
- MEIST
- kuritarvitamise
- juurdepääs
- Vastavalt
- konto
- Kontod
- Saavutada
- üle
- tegu
- meetmete
- tegevus
- tegevus
- osalejad
- Lisab
- piisav
- vastu võtma
- ADEelis
- võistlev
- nõuandev
- vastu
- Häire
- Märguanded
- Materjal: BPA ja flataatide vaba plastik
- võimaldama
- Ka
- alati
- an
- analüüs
- analüütik
- analytics
- analüüsima
- ja
- kõrvalekalded
- viirusetõrje
- mistahes
- rakendused
- kehtima
- lähenemine
- heaks
- arhitektuur
- OLEME
- PIIRKOND
- ümber
- AS
- seotud
- At
- rünnak
- Reageerib
- Katsed
- tähelepanu
- Autentimine
- volitatud
- saadaval
- vältima
- tagapõhi
- BE
- sest
- enne
- käitumine
- käitumuslik
- käitumist
- on
- Parem
- vahel
- suurim
- mõlemad
- maakler
- ehitama
- sisseehitatud
- äri
- kuid
- by
- CAN
- võimeid
- viima
- kes
- juhtudel
- kataloog
- Põhjus
- keskus
- meister
- võimalus
- muutuv
- juht
- CIO
- CISO
- lähemale
- Cloud
- pilvteenustest
- Klastrite loomine
- kombineerimine
- tulevad
- Side
- kogukond
- võrdlus
- kokkusobiv
- ühendamine
- Side
- Side
- Arvestama
- kontrollida
- kontrolli
- ühistu
- Korrelatsioon
- Maksma
- võiks
- katmine
- looma
- MANDAAT
- volikiri
- kriitiline
- kultuur
- tava
- cyber
- andmed
- andmete kadu
- Võlg
- loetakse
- vaikimisi
- Kaitsjad
- kaitse
- lähetatud
- juurutamine
- kavandatud
- avastama
- Detection
- erinevus
- digitaalne
- digitaalselt
- otse
- Juhataja
- do
- ei
- ei
- teeme
- domeen
- DOMEEENI NIMED
- kümneid
- ajal
- Ajalugu
- lihtne
- serv
- jõupingutusi
- krüpteeritud
- krüpteerimist
- lõpp
- püüdma
- Lõpp-punkt
- rikastab
- tagama
- ettevõte
- keskkond
- keskkondades
- eskalatsioon
- looma
- jms
- kõrvalehoidumise
- Isegi
- sündmused
- Iga
- näide
- erand
- eksfiltreerimine
- eksisteerima
- olemasolevate
- Laiendama
- kallis
- laiendused
- faktor
- Ebaõnnestunud
- soodustama
- Objekte
- toitmine
- fail
- Faile
- leidma
- Voolud
- Keskenduma
- eest
- Sundida
- relvajõud
- avastatud
- Raamistik
- tasuta
- tasuta prooviversioon
- vabalt
- Alates
- täielikult
- funktsioonid
- kasu
- väravad
- saama
- GitHub
- Andma
- annab
- hea
- suur
- Kasvavad
- olnud
- Juhtub
- raskem
- Olema
- he
- aitama
- aitab
- varjama
- kõrgeim
- Esile tõstma
- Kuidas
- HTTPS
- sajad
- i
- identifitseerimiseks
- identiteedid
- Identity
- if
- Imaging
- mõju
- in
- Kaasa arvatud
- sealhulgas digitaalne
- üha rohkem
- mõju
- info
- paigaldama
- paigaldamine
- paigaldatud
- Intelligentsus
- interaktiivne
- vahendajad
- sisse
- kehtestama
- inventar
- investeering
- Investeeringud
- IT
- see turvalisus
- ise
- jpg
- lihtsalt
- Võti
- võtmed
- teatud
- maa
- suurim
- viimane
- juhid
- Juhtimine
- kõige vähem
- õigustatud
- nagu
- Tõenäoliselt
- LIMIT
- piirav
- joon
- nimekiri
- elu-
- logi
- Pikk
- Vaata
- näeb välja
- Vaatasin
- kaotus
- Partii
- tehtud
- tegema
- TEEB
- Tegemine
- pahatahtlik
- malware
- juhtimine
- juhtiv
- palju
- vahendid
- mehhanism
- mehhanismid
- MFA
- modifitseeritud
- Jälgida
- jälgitakse
- järelevalve
- rohkem
- kõige
- liikuma
- liikumised
- liikuv
- palju
- mitme teguri autentimine
- peab
- nimed
- emakeelena
- loodus
- Vajadus
- võrk
- Network Security
- võrguliiklus
- Uus
- müra
- normaalne
- märkused
- of
- maha
- pakkumine
- sageli
- on
- Pardal
- ONE
- ones
- ainult
- avatud
- avatud lähtekoodiga
- Võimalused
- optimeerima
- optimeeritud
- valik
- or
- et
- organisatsioon
- organisatsioonid
- Muu
- meie
- välja
- üle
- enda
- omandiõigus
- osa
- eriline
- mustrid
- perioodid
- püsivus
- korjamine
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängima
- pluss
- võrra
- positiivne
- võimalus
- potentsiaalselt
- Praktiline
- praktiliselt
- ennustatav
- eelistama
- Ennetamine
- Peamine
- põhimõte
- prioriteetsuse
- prioriteet
- privileeg
- privilegeeritud
- protsess
- Protsessid
- Programm
- projekt
- kaitstud
- anda
- pakkujad
- annab
- päringud
- Kiire
- tõstma
- tõstab
- valik
- ransomware
- reaalne
- mõistlik
- hiljuti
- soovitama
- ümberkujundamine
- vähendama
- vähendamine
- vähendamine
- viitama
- registri
- asjakohane
- sõltuvus
- lootma
- tuginedes
- kauge
- Taotlusi
- nõutav
- Vahendid
- Reageerida
- vastus
- lainetused
- Oht
- röövima
- jõuline
- RSA
- jooks
- jooksmine
- s
- sama
- ütleb
- teadlane
- Scott
- käsikiri
- kindlustama
- kindlustada
- turvalisus
- eri
- Serverid
- teenus
- teenusepakkujad
- Teenused
- komplekt
- peaks
- Näitused
- Allkirjad
- allkirjastatud
- lihtsalt
- SIX
- väike
- nutikas
- So
- tarkvara
- Lahendused
- mõned
- Keegi
- midagi
- mõnikord
- allikas
- Allikad
- eriline
- kiirus
- kulutama
- Sponsorite
- Stabiilsus
- Käivitus
- Sammud
- ladustamine
- tugevus
- tugev
- edukas
- edu
- selline
- toetama
- kindel
- Pind
- kahtlane
- süsteem
- süsteemid
- taktika
- Võtma
- sihtmärk
- meeskond
- meeskonnad
- Tehniline
- tehnikat
- Tehnoloogiad
- öelda
- kipuvad
- kui
- et
- .
- oma
- Neile
- SIIS
- Seal.
- Need
- nad
- asi
- see
- need
- oht
- ohus osalejad
- ähvardused
- edeneb
- läbi kogu
- aeg
- et
- liiga
- tööriist
- töövahendid
- ülemine
- jälgida
- Lood
- liiklus
- kohtuprotsess
- petatud
- vallandada
- Usalda
- Usaldatud
- tüüp
- volitamata
- paljastama
- mõistma
- mõistmine
- Ootamatu
- ainulaadne
- kasutama
- Kasutatud
- Kasutaja
- Kasutajad
- kasutamine
- tavaline
- kommunaalteenused
- kasulikkus
- väärtuslik
- Ve
- müüja
- müüjad
- väga
- Ohver
- nähtavus
- tahan
- oli
- Tee..
- we
- web
- Hästi
- M
- Mis on
- millal
- mis
- kuigi
- WHO
- lai
- Metsik
- valmis
- aken
- koos
- jooksul
- kirjutamine
- sa
- sephyrnet
- null
- null usaldust