با توجه به اینکه دشمنان به طور فزاینده ای به ابزارهای قانونی برای پنهان کردن فعالیت های مخرب خود متکی هستند، مدافعان سازمانی باید معماری شبکه را برای شناسایی و دفاع در برابر این حملات بازنگری کنند.
این تاکتیکها که با نام «زندگی خارج از زمین» (LotL) شناخته میشوند، به نحوه استفاده دشمنان از ابزارهای قانونی و بومی در محیط قربانی برای انجام حملات خود اشاره میکنند. هنگامی که مهاجمان با استفاده از بدافزار یا ابزار خود ابزارهای جدیدی را در محیط معرفی می کنند، مقداری نویز در شبکه ایجاد می کنند. این احتمال را افزایش می دهد که این ابزارها می توانند آلارم های امنیتی را ایجاد کنند و به مدافعان هشدار دهند که فردی غیرمجاز در شبکه است و فعالیت مشکوکی انجام می دهد. مهاجمانی که از ابزارهای موجود استفاده می کنند، جداسازی اقدامات مخرب از فعالیت های قانونی را برای مدافعان دشوارتر می کند.
برای وادار کردن مهاجمان به ایجاد نویز بیشتر در شبکه، رهبران امنیت فناوری اطلاعات باید در مورد شبکه تجدید نظر کنند تا حرکت در اطراف شبکه چندان آسان نباشد.
ایمن سازی هویت ها، تحرکات محدود
یکی از روشها اعمال کنترلهای دسترسی قوی و نظارت بر تجزیه و تحلیل رفتار ممتاز است تا تیم امنیتی بتواند ترافیک شبکه و درخواستهای دسترسی از ابزارهای خود را تجزیه و تحلیل کند. جوزف کارسون، دانشمند ارشد امنیت و مشاور CISO در Delinea میگوید اعتماد صفر با کنترلهای دسترسی ممتاز قوی - مانند اصل حداقل امتیاز - حرکت مهاجمان در شبکه را دشوارتر میکند.
او میگوید: «این آنها را مجبور میکند از تکنیکهایی استفاده کنند که نویز و موجهای بیشتری در شبکه ایجاد میکند. "این به مدافعان فناوری اطلاعات فرصت بهتری برای شناسایی دسترسی غیرمجاز خیلی زودتر در زمان حمله می دهد - قبل از اینکه فرصتی برای استقرار نرم افزارهای مخرب یا باج افزار داشته باشند."
مورد دیگر این است که فناوریهای واسطه امنیتی دسترسی ابری (CASB) و لبه سرویس دسترسی ایمن (SASE) را در نظر بگیرید تا بفهمید چه کسی (یا چه چیزی) به کدام منابع و سیستمها متصل است، که میتواند جریانهای شبکه غیرمنتظره یا مشکوک را برجسته کند. راهحلهای CASB برای ایجاد امنیت و دید برای سازمانهایی که خدمات و برنامههای کاربردی ابری را اتخاذ میکنند، طراحی شدهاند. آنها به عنوان واسطه بین کاربران نهایی و ارائه دهندگان خدمات ابری عمل می کنند و طیف وسیعی از کنترل های امنیتی از جمله پیشگیری از دست دادن داده ها (DLP)، کنترل دسترسی، رمزگذاری و تشخیص تهدید را ارائه می دهند.
SASE یک چارچوب امنیتی است که عملکردهای امنیتی شبکه را ترکیب می کند، مانند دروازه های وب امن، فایروال به عنوان سرویس، و دسترسی به شبکه بدون اعتماد، با قابلیت های شبکه گسترده (WAN) مانند SD-WAN (شبکه گسترده نرم افزاری تعریف شده). ).
گرت لیندال وایز، CISO در Ontinue میگوید: «باید تمرکز قوی روی مدیریت سطح حمله [LotL] وجود داشته باشد. مهاجمان در جایی موفق می شوند که ابزارها و فرآیندهای داخلی یا مستقر شده از نقاط پایانی بسیار زیادی توسط هویت های بیش از حد مورد استفاده قرار گیرند.
لیندال وایز میگوید این فعالیتها، طبیعتاً ناهنجاریهای رفتاری هستند، بنابراین درک آنچه که نظارت میشود و به پلتفرمهای همبستگی وارد میشود، حیاتی است. تیم ها باید از پوشش نقاط پایانی و هویت ها اطمینان حاصل کنند و سپس با گذشت زمان این موضوع را با اطلاعات اتصال شبکه غنی کنند. بازرسی ترافیک شبکه می تواند به کشف تکنیک های دیگر کمک کند، حتی اگر خود ترافیک رمزگذاری شده باشد.
رویکرد مبتنی بر شواهد
سازمانها میتوانند و باید رویکردی مبتنی بر شواهد را برای اولویتبندی منابع تلهمتری که برای مشاهده سوءاستفاده مشروع از ابزار استفاده میکنند، اتخاذ کنند.
هزینه ذخیرهسازی منابع گزارش با حجم بالاتر یک عامل بسیار واقعی است، اما هزینههای مربوط به تلهمتری باید با توجه به منابعی که پنجرهای به تهدیدات، از جمله ابزارهای سوءاستفاده شده، اغلب در طبیعت مشاهده میشوند و مرتبط با سازمان تلقی میشوند، بهینهسازی شود. اسکات اسمال، مدیر اطلاعات تهدید در Tidal Cyber می گوید.
او اشاره میکند که تلاشهای متعدد جامعه این فرآیند را کاربردیتر از قبل میکند، از جمله پروژه منبع باز "LOLBAS" که برنامههای بالقوه مخرب صدها ابزار کلیدی را ردیابی میکند.
در همین حال، فهرست رو به رشد منابع MITER ATT&CK، مرکز دفاع آگاهانه از تهدید، و فروشندگان ابزار امنیتی امکان ترجمه مستقیم از همان رفتارهای متخاصم را به دادهها و منابع گزارش گسسته مرتبط میدهد.
اسمال میگوید: «برای بسیاری از سازمانها عملی نیست که تمام منابع گزارش شناخته شده را به طور کامل ردیابی کنند. "تحلیل ما از داده های پروژه LOBAS نشان می دهد که این ابزارهای LotL می توانند برای انجام عملاً هر نوع فعالیت مخرب مورد استفاده قرار گیرند."
این موارد از فرار از دفاع گرفته تا افزایش امتیاز، تداوم، دسترسی به اعتبار، و حتی نفوذ و تأثیر را شامل می شود.
اسمال میگوید: «این همچنین به این معنی است که دهها منبع داده گسسته وجود دارد که میتوانند استفاده مخرب این ابزارها را مشاهده کنند – بیش از حد برای ثبت واقعی جامع و برای مدت زمان طولانی».
با این حال، تجزیه و تحلیل دقیق تر نشان می دهد که در آن خوشه بندی (و منابع منحصر به فرد) وجود دارد - برای مثال، تنها شش منبع داده از 48 منبع داده برای بیش از سه چهارم (82٪) تکنیک های مرتبط با LOLBAS مرتبط هستند.
اسمال میگوید: «این فرصتهایی را فراهم میکند تا تلهمتری را مستقیماً مطابق با تکنیکهای برتر زندگی در خارج از زمین یا تکنیکهای خاص مرتبط با خدماتی که سازمان بالاترین اولویت را در نظر میگیرد، روی برد یا بهینهسازی کند.»
گام های عملی برای رهبران امنیت فناوری اطلاعات
تیمهای امنیتی فناوری اطلاعات میتوانند گامهای عملی و معقول زیادی را برای شناسایی مهاجمانی که در خارج از زمین زندگی میکنند، انجام دهند، تا زمانی که رویدادها را مشاهده کنند.
رندی پارگمن، مدیر تشخیص تهدید در Proofpoint میگوید: «در حالی که داشتن قابلیت رویت شبکه عالی است، رویدادها از نقاط پایانی - هم ایستگاههای کاری و هم سرورها - در صورت استفاده خوب به همان اندازه ارزشمند هستند.
به عنوان مثال، یکی از تکنیکهای LotL که اخیراً توسط بسیاری از عوامل تهدید استفاده میشود، نصب نرمافزار نظارت و مدیریت از راه دور قانونی (RMM) است.
مهاجمان ابزارهای RMM را ترجیح می دهند زیرا قابل اعتماد هستند، به صورت دیجیتالی امضا شده اند و هشدارهای آنتی ویروس یا تشخیص نقطه پایانی و پاسخ (EDR) را تنظیم نمی کنند، بعلاوه استفاده از آنها آسان است و اکثر فروشندگان RMM یک گزینه آزمایشی کاملاً رایگان دارند.
مزیت تیمهای امنیتی این است که همه ابزارهای RMM رفتار بسیار قابل پیشبینی دارند، از جمله امضای دیجیتال، کلیدهای رجیستری که اصلاح شدهاند، نامهای دامنه جستجو شده و نامهای پردازشی که باید جستجو شوند.
پارگمن میگوید: «من در شناسایی استفاده متجاوزان از ابزارهای RMM به سادگی با نوشتن امضاهای تشخیص برای همه ابزارهای RMM آزادانه در دسترس، و ایجاد استثنایی برای ابزار تأیید شده، در صورت وجود، موفقیت زیادی کسب کردهام.
اگر فقط یک فروشنده RMM مجاز به استفاده باشد، و اگر همیشه به همان روش نصب شود - مانند هنگام تصویربرداری سیستم یا با یک اسکریپت خاص - کمک می کند تا به راحتی بتوان تفاوت بین نصب مجاز و نصب را تشخیص داد. او می افزاید، عامل تهدیدی که کاربر را برای اجرای نصب فریب می دهد.
بسیاری از فرصتهای شناسایی دیگر مانند این وجود دارد، که از فهرست شروع میشود LOLBASپرگمان می گوید. تیم های امنیتی با اجرای پرس و جوهای شکار تهدید در تمام رویدادهای نقطه پایانی، می توانند الگوهای استفاده معمولی را در محیط خود پیدا کنند، سپس پرس و جوهای هشدار سفارشی را برای تشخیص الگوهای استفاده غیرعادی ایجاد کنند.
همچنین فرصتهایی برای محدود کردن سوء استفاده از ابزارهای داخلی مورد علاقه مهاجمان وجود دارد، مانند تغییر برنامه پیشفرض مورد استفاده برای باز کردن فایلهای اسکریپت (پسوندهای فایل .js، jse.، vbs.، vbe.، wsh.، و غیره). که با دوبار کلیک کردن در WScript.exe باز نمی شوند.
پارگمن می گوید: «این به جلوگیری از فریب کاربران نهایی برای اجرای یک اسکریپت مخرب کمک می کند.
کاهش اتکا به اعتبار
به گفته راب هیوز، مدیر ارشد فناوری RSA، سازمان ها باید اتکای خود به اعتبارنامه ها را برای ایجاد ارتباطات کاهش دهند. به همین ترتیب، سازمانها باید در مورد تلاشهای غیرعادی و ناموفق و موارد دور از دسترس هشدار دهند تا تیمهای امنیتی را در جایی که دید رمزگذاری شده در جریان است، مشاهده کنند. درک اینکه چه چیزی "عادی" و "خوب" در ارتباطات سیستمی به نظر می رسد و شناسایی نقاط پرت راهی برای شناسایی حملات LotL است.
منطقه ای که اغلب نادیده گرفته می شود و توجه زیادی را به خود جلب می کند، حساب های خدماتی است که معمولاً غیرقابل تنظیم، ضعیف محافظت می شوند و هدف اصلی برای زندگی در برابر حملات زمینی هستند.
آنها بارهای کاری ما را در پس زمینه اجرا می کنند. هیوز می گوید: ما تمایل داریم به آنها اعتماد کنیم - احتمالاً بیش از حد. "شما می خواهید موجودی، مالکیت و مکانیسم های احراز هویت قوی در این حساب ها نیز وجود داشته باشد."
دستیابی به بخش آخر میتواند سختتر باشد زیرا حسابهای خدمات تعاملی نیستند، بنابراین مکانیسمهای معمول احراز هویت چندعاملی (MFA) که سازمانها به آنها تکیه میکنند با کاربران در بازی نیستند.
هیوز می گوید: «مانند هر احراز هویت، درجاتی از قدرت وجود دارد. توصیه میکنم یک مکانیسم قوی انتخاب کنید و مطمئن شوید که تیمهای امنیتی وارد سیستم میشوند و به هر گونه ورود تعاملی از یک حساب سرویس پاسخ میدهند. اینها نباید اتفاق بیفتد.»
سرمایه گذاری زمان کافی مورد نیاز
ایجاد فرهنگ امنیت لازم نیست گران باشد، اما شما به رهبری مشتاق برای حمایت و حمایت از هدف نیاز دارید.
هیوز می گوید که سرمایه گذاری در زمان، گاهی اوقات بزرگترین سرمایه گذاری است. اما اعمال کنترلهای هویتی قوی در سراسر سازمان و در سرتاسر سازمان، در مقایسه با کاهش خطر که انجام این کار انجام میشود، لازم نیست تلاش گرانی باشد.
او میگوید: «امنیت با ثبات و ثبات رشد میکند، اما ما همیشه نمیتوانیم آن را در یک محیط تجاری کنترل کنیم. سرمایهگذاری هوشمندانه در کاهش بدهیهای فنی در سیستمهایی انجام دهید که با MFA یا کنترلهای هویتی قوی سازگار یا همکاری ندارند.»
پارگمن می گوید همه چیز به سرعت تشخیص و پاسخ بستگی دارد.
"در بسیاری از مواردی که من بررسی کرده ام، چیزی که بزرگترین تفاوت مثبت را برای مدافعان ایجاد کرد، پاسخ سریع یک تحلیلگر SecOps هشدار بود که متوجه چیز مشکوکی شد، بررسی کرد و قبل از اینکه عامل تهدید فرصتی برای گسترش پیدا کند متوجه نفوذ شد. نفوذ آنها،» او می گوید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :است
- :نه
- :جایی که
- $UP
- 7
- a
- غیر طبیعی
- درباره ما
- سو استفاده کردن
- دسترسی
- مطابق
- حساب
- حساب ها
- رسیدن
- در میان
- عمل
- اقدامات
- فعالیت ها
- فعالیت
- بازیگران
- می افزاید:
- کافی
- اتخاذ
- مزیت - فایده - سود - منفعت
- دشمن
- مشاوره
- در برابر
- هوشیار
- تصویر، موسیقی
- معرفی
- اجازه دادن
- همچنین
- همیشه
- an
- تحلیل
- روانکاو
- علم تجزیه و تحلیل
- تحلیل
- و
- اختلالات
- آنتی ویروس
- هر
- برنامه های کاربردی
- درخواست
- روش
- تایید کرد
- معماری
- هستند
- محدوده
- دور و بر
- AS
- مرتبط است
- At
- حمله
- حمله
- تلاشها
- توجه
- تصدیق
- مجاز
- در دسترس
- اجتناب از
- زمینه
- BE
- زیرا
- قبل از
- رفتار
- رفتاری
- رفتار
- بودن
- بهتر
- میان
- بزرگترین
- هر دو
- دلال
- ساختن
- ساخته شده در
- کسب و کار
- اما
- by
- CAN
- قابلیت های
- حمل
- حمل
- موارد
- کاتالوگ
- علت
- مرکز
- قهرمان
- شانس
- متغیر
- رئیس
- CIO
- CISO
- نزدیک
- ابر
- خدمات ابر
- خوشه بندی
- ترکیب
- آینده
- ارتباطات
- انجمن
- مقایسه
- سازگار
- اتصال
- اتصالات
- اتصال
- در نظر بگیرید
- کنترل
- گروه شاهد
- تعاونی
- ارتباط
- هزینه
- میتوانست
- پوشش
- ایجاد
- اعتبار
- مجوزها و اعتبارات
- بحرانی
- فرهنگ
- سفارشی
- سایبر
- داده ها
- از دست رفتن داده ها
- بدهی
- تلقی می شود
- به طور پیش فرض
- مدافعان
- دفاع
- مستقر
- استقرار
- طراحی
- تشخیص
- کشف
- تفاوت
- دیجیتال
- دیجیتالی
- مستقیما
- مدیر
- do
- میکند
- ندارد
- عمل
- دامنه
- نام های دامنه
- ده ها
- در طی
- پیش از آن
- ساده
- لبه
- تلاش
- رمزگذاری
- رمزگذاری
- پایان
- تلاش کن
- نقطه پایانی
- غنی سازی
- اطمینان حاصل شود
- سرمایه گذاری
- محیط
- محیط
- تشدید
- ایجاد
- و غیره
- فرار از زندان
- حتی
- حوادث
- هر
- مثال
- استثنا
- استخراج
- وجود داشته باشد
- موجود
- گسترش
- گران
- ضمیمهها
- عامل
- ناموفق
- توجه
- ویژه
- تغذیه
- پرونده
- فایل ها
- پیدا کردن
- جریانها
- تمرکز
- برای
- استحکام
- نیروهای
- یافت
- چارچوب
- رایگان
- امتحان رایگان
- آزادانه
- از جانب
- کاملا
- توابع
- افزایش
- دروازه ها
- دریافت کنید
- GitHub
- دادن
- می دهد
- خوب
- بزرگ
- در حال رشد
- بود
- اتفاق می افتد
- سخت تر
- آیا
- he
- کمک
- کمک می کند
- پنهان شدن
- بالاترین
- نماد
- چگونه
- HTTPS
- صدها نفر
- i
- شناسایی
- هویت ها
- هویت
- if
- تصویربرداری
- تأثیر
- in
- از جمله
- از جمله دیجیتال
- به طور فزاینده
- نفوذ
- اطلاعات
- نصب
- نصب و راه اندازی
- نصب شده
- اطلاعات
- تعاملی
- واسطه
- به
- معرفی
- فهرست
- سرمایه گذاری
- سرمایه گذاری
- IT
- امنیت آن است
- خود
- JPG
- تنها
- کلید
- کلید
- شناخته شده
- زمین
- بزرگترین
- نام
- رهبران
- رهبری
- کمترین
- قانونی
- پسندیدن
- احتمالا
- محدود
- محدود کردن
- لاین
- فهرست
- زندگی
- ورود به سیستم
- طولانی
- نگاه کنيد
- شبیه
- نگاه
- خاموش
- خیلی
- ساخته
- ساخت
- باعث می شود
- ساخت
- مخرب
- نرم افزارهای مخرب
- مدیریت
- مدیریت
- بسیاری
- به معنی
- مکانیزم
- مکانیسم
- MFA
- اصلاح شده
- مانیتور
- نظارت
- نظارت بر
- بیش
- اکثر
- حرکت
- جنبش ها
- متحرک
- بسیار
- احراز هویت چند عاملی
- باید
- نام
- بومی
- طبیعت
- نیاز
- شبکه
- امنیت شبکه
- ترافیک شبکه
- جدید
- سر و صدا
- طبیعی
- یادداشت
- of
- خاموش
- ارائه
- غالبا
- on
- پردازنده
- ONE
- آنهایی که
- فقط
- باز کن
- منبع باز
- فرصت ها
- بهینه سازی
- بهینه
- گزینه
- or
- سفارش
- کدام سازمان ها
- سازمان های
- دیگر
- ما
- خارج
- روی
- خود
- مالکیت
- بخش
- ویژه
- الگوهای
- دوره ها
- اصرار
- پس مانده
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- به علاوه
- نقطه
- مثبت
- امکان
- بالقوه
- عملی
- عملا
- قابل پیش بینی
- ترجیح می دهند
- پیشگیری
- نخستین
- اصل
- اولویت بندی
- اولویت
- امتیاز
- ممتاز
- روند
- فرآیندهای
- برنامه
- پروژه
- محفوظ
- ارائه
- ارائه دهندگان
- فراهم می کند
- نمایش ها
- سریع
- بالا بردن
- افزایش
- محدوده
- باجافزار
- واقعی
- معقول
- تازه
- توصیه
- طراحی مجدد
- كاهش دادن
- کاهش
- کاهش
- مراجعه
- رجیستری
- مربوط
- اعتماد
- تکیه
- تکیه بر
- دور
- درخواست
- ضروری
- منابع
- پاسخ
- پاسخ
- موج دار شدن
- خطر
- دستبرد زدن
- تنومند
- rsa
- دویدن
- در حال اجرا
- s
- همان
- می گوید:
- دانشمند
- اسکات
- خط
- امن
- امنیت
- تیم امنیت لاتاری
- جداگانه
- سرور
- سرویس
- ارائه دهندگان خدمات
- خدمات
- تنظیم
- باید
- نشان می دهد
- امضا
- امضاء شده
- به سادگی
- شش
- کوچک
- هوشمند
- So
- نرم افزار
- مزایا
- برخی از
- کسی
- چیزی
- گاهی
- منبع
- منابع
- ویژه
- سرعت
- خرج کردن
- حمایت مالی
- ثبات
- راه افتادن
- مراحل
- ذخیره سازی
- استحکام
- قوی
- موفق شدن
- موفقیت
- چنین
- پشتیبانی
- مطمئن
- سطح
- مشکوک
- سیستم
- سیستم های
- تاکتیک
- گرفتن
- هدف
- تیم
- تیم ها
- فنی
- تکنیک
- فن آوری
- گفتن
- تمایل
- نسبت به
- که
- La
- شان
- آنها
- سپس
- آنجا.
- اینها
- آنها
- چیز
- این
- کسانی که
- تهدید
- بازیگران تهدید
- تهدید
- شکوفا می شود
- سراسر
- زمان
- به
- هم
- ابزار
- ابزار
- بالا
- مسیر
- آهنگ
- ترافیک
- محاکمه
- فریب خورده
- ماشه
- اعتماد
- مورد اعتماد
- نوع
- غیر مجاز
- برملا کردن
- فهمیدن
- درک
- غیر منتظره
- منحصر به فرد
- استفاده کنید
- استفاده
- کاربر
- کاربران
- با استفاده از
- معمول
- آب و برق
- سودمندی
- ارزشمند
- Ve
- فروشنده
- فروشندگان
- بسیار
- قربانی
- دید
- می خواهم
- بود
- مسیر..
- we
- وب
- خوب
- چی
- چه شده است
- چه زمانی
- که
- در حین
- WHO
- وسیع
- وحشی
- مایل
- پنجره
- با
- در داخل
- نوشته
- شما
- زفیرنت
- صفر
- اعتماد صفر