Alors que les adversaires s'appuient de plus en plus sur des outils légitimes pour dissimuler leurs activités malveillantes, les défenseurs des entreprises doivent repenser l'architecture réseau afin de détecter et de se défendre contre ces attaques.
Connues sous le nom de « vivre de la terre » (LotL), ces tactiques font référence à la manière dont les adversaires utilisent des outils natifs et légitimes au sein de l'environnement de la victime pour mener leurs attaques. Lorsque les attaquants introduisent de nouveaux outils dans l’environnement en utilisant leurs propres logiciels malveillants ou outils, ils créent du bruit sur le réseau. Cela soulève la possibilité que ces outils déclenchent des alarmes de sécurité et alertent les défenseurs qu'une personne non autorisée se trouve sur le réseau et mène des activités suspectes. Les attaquants utilisant les outils existants rendent plus difficile pour les défenseurs de distinguer les actions malveillantes des activités légitimes.
Pour forcer les attaquants à créer davantage de bruit sur le réseau, les responsables de la sécurité informatique doivent repenser le réseau afin que les déplacements sur le réseau ne soient pas si faciles.
Sécuriser les identités, limiter les déplacements
Une approche consiste à appliquer des contrôles d'accès stricts et à surveiller les analyses de comportement privilégié afin que l'équipe de sécurité puisse analyser le trafic réseau et les demandes d'accès provenant de ses propres outils. Le modèle de confiance zéro avec des contrôles d'accès privilégiés stricts – tels que le principe du moindre privilège – rend plus difficile pour les attaquants de se déplacer sur le réseau, explique Joseph Carson, scientifique en chef de la sécurité et RSSI conseil chez Delinea.
"Cela les oblige à utiliser des techniques qui créent davantage de bruit et d'ondulations sur le réseau", explique-t-il. "Cela donne aux défenseurs informatiques une meilleure chance de détecter les accès non autorisés beaucoup plus tôt dans l'attaque, avant qu'ils n'aient la possibilité de déployer des logiciels malveillants ou des ransomwares."
Une autre solution consiste à envisager les technologies CASB (Cloud Access Security Broker) et SASE (Secure Access Service Edge) pour comprendre qui (ou quoi) se connecte à quelles ressources et systèmes, ce qui peut mettre en évidence des flux réseau inattendus ou suspects. Les solutions CASB sont conçues pour offrir sécurité et visibilité aux organisations qui adoptent des services et des applications cloud. Ils agissent comme intermédiaires entre les utilisateurs finaux et les fournisseurs de services cloud, offrant une gamme de contrôles de sécurité, notamment la prévention des pertes de données (DLP), le contrôle d'accès, le cryptage et la détection des menaces.
SASE est un cadre de sécurité combinant des fonctions de sécurité réseau, telles que des passerelles Web sécurisées, un pare-feu en tant que service et un accès réseau sans confiance, avec des capacités de réseau étendu (WAN) telles que SD-WAN (réseau étendu défini par logiciel). ).
« Il convient de se concentrer fortement sur la gestion de la surface d'attaque [LotL] », déclare Gareth Lindahl-Wise, RSSI chez Ontinue. « Les attaquants réussissent là où les outils et processus intégrés ou déployés peuvent être utilisés à partir d’un trop grand nombre de points finaux et par un trop grand nombre d’identités. »
Ces activités, de par leur nature, sont des anomalies comportementales. Il est donc essentiel de comprendre ce qui est surveillé et d’alimenter les plateformes de corrélation, explique Lindahl-Wise. Les équipes doivent assurer la couverture des points finaux et des identités, puis, au fil du temps, enrichir cette couverture avec des informations sur la connectivité réseau. L'inspection du trafic réseau peut aider à découvrir d'autres techniques, même si le trafic lui-même est crypté.
Une approche fondée sur des données probantes
Les organisations peuvent et doivent adopter une approche fondée sur des données probantes pour prioriser les sources de télémétrie qu'elles utilisent afin d'obtenir une visibilité sur les abus légitimes des services publics.
« Le coût du stockage de sources de journaux à volume plus élevé est un facteur très réel, mais les dépenses en télémétrie doivent être optimisées en fonction des sources qui donnent une idée des menaces, y compris les utilitaires abusés, observés le plus souvent dans la nature et jugés pertinents pour l'organisation. », déclare Scott Small, directeur du renseignement sur les menaces chez Tidal Cyber.
De multiples efforts communautaires rendent ce processus plus pratique qu'auparavant, notamment le projet open source « LOLBAS », qui traque les applications potentiellement malveillantes de centaines d'utilitaires clés, souligne-t-il.
Parallèlement, un catalogue croissant de ressources de MITRE ATT&CK, du Center for Threat-Informed Defense et des fournisseurs d'outils de sécurité permettent de traduire ces mêmes comportements adverses directement en sources de données et de journaux discrètes et pertinentes.
« Il n'est pas pratique pour la plupart des organisations de suivre entièrement et à tout moment chaque source de journaux connue », note Small. "Notre analyse des données du projet LOBAS montre que ces utilitaires LotL peuvent être utilisés pour réaliser pratiquement tous les types d'activités malveillantes."
Celles-ci vont de l’évasion de la défense à l’élévation des privilèges, en passant par la persistance, l’accès aux informations d’identification, voire l’exfiltration et l’impact.
« Cela signifie également qu’il existe des dizaines de sources de données discrètes qui pourraient donner une visibilité sur l’utilisation malveillante de ces outils – trop nombreuses pour être enregistrées de manière réaliste de manière exhaustive et sur de longues périodes », explique Small.
Cependant, une analyse plus approfondie montre où existent des regroupements (et des sources uniques) : par exemple, seules six sources de données sur 48 sont pertinentes pour plus des trois quarts (82 %) des techniques liées à LOLBAS.
«Cela offre la possibilité d'intégrer ou d'optimiser la télémétrie directement en conformité avec les meilleures techniques de vie hors du terrain, ou avec celles associées aux services publics considérés comme la plus haute priorité par l'organisation», explique Small.
Étapes pratiques pour les responsables de la sécurité informatique
Les équipes de sécurité informatique peuvent prendre de nombreuses mesures pratiques et raisonnables pour détecter les attaquants vivant à l’extérieur, à condition qu’elles aient une visibilité sur les événements.
« Même s'il est formidable d'avoir une visibilité sur le réseau, les événements provenant des points finaux (postes de travail et serveurs) sont tout aussi précieux s'ils sont bien utilisés », déclare Randy Pargman, directeur de la détection des menaces chez Proofpoint.
Par exemple, l’une des techniques LotL utilisées récemment par de nombreux acteurs de la menace consiste à installer un logiciel légitime de surveillance et de gestion à distance (RMM).
Les attaquants préfèrent les outils RMM car ils sont fiables, signés numériquement et ne déclenchent pas d'alertes antivirus ou de détection et réponse des points finaux (EDR). De plus, ils sont faciles à utiliser et la plupart des fournisseurs RMM proposent une option d'essai gratuit complète.
L'avantage pour les équipes de sécurité est que tous les outils RMM ont un comportement très prévisible, notamment les signatures numériques, les clés de registre modifiées, les noms de domaine recherchés et les noms de processus à rechercher.
« J'ai réussi à détecter l'utilisation des outils RMM par des intrus simplement en écrivant des signatures de détection pour tous les outils RMM disponibles gratuitement et en faisant une exception pour l'outil approuvé, le cas échéant », explique Pargman.
Il est utile qu'un seul fournisseur RMM soit autorisé à être utilisé et qu'il soit toujours installé de la même manière (par exemple lors d'une création d'image système ou avec un script spécial) afin qu'il soit facile de faire la différence entre une installation autorisée et une installation autorisée. un acteur menaçant incitant un utilisateur à exécuter l'installation, ajoute-t-il.
« Il existe de nombreuses autres opportunités de détection comme celle-ci, à commencer par la liste dans LOLBAS", dit Pargman. « En exécutant des requêtes de chasse aux menaces sur tous les événements liés aux points finaux, les équipes de sécurité peuvent trouver les modèles d'utilisation normale dans leurs environnements, puis créer des requêtes d'alerte personnalisées pour détecter les modèles d'utilisation anormaux. »
Il existe également des possibilités de limiter l'utilisation abusive des outils intégrés privilégiés par les attaquants, comme la modification du programme par défaut utilisé pour ouvrir les fichiers de script (extensions de fichiers .js, .jse, .vbs, .vbe, .wsh, etc.) afin de limiter l'utilisation abusive des outils intégrés privilégiés par les attaquants. qu'ils ne s'ouvrent pas dans WScript.exe lors d'un double-clic.
« Cela permet d'éviter que les utilisateurs finaux ne soient amenés à exécuter un script malveillant », explique Pargman.
Réduire la dépendance aux informations d’identification
Les organisations doivent réduire leur dépendance aux informations d'identification pour établir des connexions, selon Rob Hughes, CIO de RSA. De même, les organisations doivent déclencher des alertes sur les tentatives anormales et infructueuses ainsi que sur les valeurs aberrantes afin de donner aux équipes de sécurité une visibilité sur les domaines dans lesquels la visibilité chiffrée est en jeu. Comprendre à quoi ressemblent « normal » et « bon » dans les communications des systèmes et identifier les valeurs aberrantes est un moyen de détecter les attaques LotL.
Un domaine souvent négligé qui commence à attirer beaucoup plus d’attention est celui des comptes de service, qui ont tendance à être non réglementés, faiblement protégés et constituent une cible privilégiée pour vivre des attaques terrestres.
« Ils exécutent nos charges de travail en arrière-plan. Nous avons tendance à leur faire confiance – probablement trop », dit Hughes. "Vous souhaitez également des mécanismes d'inventaire, de propriété et d'authentification forte sur ces comptes."
La dernière partie peut être plus difficile à réaliser car les comptes de service ne sont pas interactifs, de sorte que les mécanismes habituels d'authentification multifacteur (MFA) sur lesquels les organisations s'appuient avec les utilisateurs ne sont pas en jeu.
"Comme toute authentification, il existe des degrés de force", explique Hughes. « Je recommanderais de choisir un mécanisme solide et de veiller à ce que les équipes de sécurité enregistrent et répondent à toutes les connexions interactives à partir d'un compte de service. Cela ne devrait pas arriver.
Investissement en temps adéquat requis
Construire une culture de sécurité ne doit pas nécessairement coûter cher, mais il faut un leadership volontaire pour soutenir et défendre la cause.
L'investissement en temps est parfois l'investissement le plus important à réaliser, explique Hughes. Mais le déploiement de contrôles d’identité stricts au sein de l’organisation ne doit pas nécessairement être une entreprise coûteuse par rapport à la réduction des risques que cela entraîne.
« La sécurité repose sur la stabilité et la cohérence, mais nous ne pouvons pas toujours contrôler cela dans un environnement commercial », dit-il. « Réalisez des investissements intelligents pour réduire la dette technique dans les systèmes qui ne sont pas compatibles ou coopératifs avec l'AMF ou des contrôles d'identité stricts. »
Tout est question de rapidité de détection et de réponse, explique Pargman.
« Dans de nombreux cas sur lesquels j'ai enquêté, ce qui a fait la plus grande différence positive pour les défenseurs a été la réponse rapide d'un analyste SecOps alerte qui a remarqué quelque chose de suspect, a enquêté et a découvert l'intrusion avant que l'acteur malveillant n'ait eu la chance de s'étendre. leur influence », dit-il.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :est
- :ne pas
- :où
- $UP
- 7
- a
- anormal
- A Propos
- abus
- accès
- Selon
- Compte
- hybrides
- atteindre
- à travers
- Agis
- actes
- d'activités
- activité
- acteurs
- Ajoute
- adéquat
- adopter
- Avantage
- contradictoire
- consultatif
- à opposer à
- Alerte
- Alertes
- Tous
- permettre
- aussi
- toujours
- an
- selon une analyse de l’Université de Princeton
- analyste
- analytique
- il analyse
- ainsi que le
- anomalies
- antivirus
- tous
- applications
- Appliquer
- une approche
- ,
- architecture
- SONT
- Réservé
- autour
- AS
- associé
- At
- attaquer
- Attaques
- Tentatives
- précaution
- Authentification
- autorisé
- disponibles
- éviter
- fond
- BE
- car
- before
- humain
- comportementale
- comportements
- va
- Améliorée
- jusqu'à XNUMX fois
- Le plus grand
- tous les deux
- courtier
- construire
- intégré
- la performance des entreprises
- mais
- by
- CAN
- capacités
- porter
- la réalisation
- cas
- catalogue
- Causes
- Canaux centraux
- champion
- Chance
- en changeant
- chef
- CIO
- CISO
- plus
- le cloud
- services de cloud computing
- regroupement
- combinant
- Venir
- Communications
- Communautés
- Comparaison
- compatible
- Connecter les
- Connexions
- Connectivité
- Considérer
- des bactéries
- contrôles
- coopérative
- Corrélation
- Prix
- pourriez
- couverture
- engendrent
- CRÉDENTIEL
- Lettres de créance
- critique
- Culture
- Customiser
- cyber
- données
- La perte de données
- Dette
- réputé
- Réglage par défaut
- défenseurs
- Défense
- déployé
- déployer
- un
- détecter
- Détection
- différence
- numérique
- numériquement
- directement
- Directeur
- do
- doesn
- faire
- domaine
- NOMS DE DOMAINE
- des dizaines
- pendant
- Plus tôt
- Easy
- Edge
- efforts
- crypté
- chiffrement
- fin
- s'efforcer
- Endpoint
- enrichir
- assurer
- Entreprise
- Environment
- environnements
- escalade
- établir
- etc
- évasion
- Pourtant, la
- événements
- Chaque
- exemple
- exception
- exfiltration
- exister
- existant
- Développer vous
- cher
- extensions
- facteur
- Échoué
- favoriser
- en vedette
- alimentation
- Déposez votre dernière attestation
- Fichiers
- Trouvez
- Flux
- Focus
- Pour
- Force
- Forces
- trouvé
- Framework
- Gratuit
- essai gratuit
- librement
- De
- d’étiquettes électroniques entièrement
- fonctions
- Gain
- passerelles
- obtenez
- GitHub
- Donner
- donne
- Bien
- l'
- Croissance
- ait eu
- EN COURS
- Plus fort
- Vous avez
- he
- vous aider
- aide
- Cacher
- le plus élevé
- Souligner
- Comment
- HTTPS
- Des centaines
- i
- identifier
- identités
- Identite
- if
- Imagerie
- Impact
- in
- Y compris
- y compris numérique
- de plus en plus
- influencer
- d'information
- installer
- installation
- Installé
- Intelligence
- Interactif
- intermédiaires
- développement
- introduire
- inventaire
- un investissement
- Investissements
- IT
- sécurité informatique
- lui-même
- jpg
- juste
- ACTIVITES
- clés
- connu
- Transport routier
- le plus grand
- Nom de famille
- dirigeants
- Leadership
- au
- légitime
- comme
- Probable
- LIMIT
- limiter
- Gamme
- Liste
- vie
- enregistrer
- Location
- Style
- ressembler
- regardé
- perte
- Lot
- LES PLANTES
- a prendre une
- FAIT DU
- Fabrication
- malveillant
- malware
- gestion
- les gérer
- de nombreuses
- veux dire
- mécanisme
- mécanismes
- MFA
- modifié
- Surveiller
- surveillé
- Stack monitoring
- PLUS
- (en fait, presque toutes)
- Bougez
- mouvements
- en mouvement
- beaucoup
- authentification multifactorielle
- must
- noms
- indigène
- Nature
- Besoin
- réseau et
- Network Security
- trafic réseau
- Nouveauté
- Bruit
- Ordinaire
- Notes
- of
- de rabais
- offrant
- souvent
- on
- Débuter
- ONE
- et, finalement,
- uniquement
- ouvert
- open source
- Opportunités
- Optimiser
- optimisé
- Option
- or
- de commander
- organisation
- organisations
- Autre
- nos
- ande
- plus de
- propre
- possession
- partie
- particulier
- motifs
- périodes
- persistance
- cueillette
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- plus
- des notes bonus
- positif
- possibilité
- l'éventualité
- Méthode
- pratiquement
- Prévisible
- préfère
- Prévention
- Prime
- principe
- priorisation
- priorité
- privilège
- privilégié
- processus
- les process
- Programme
- Projet
- protégé
- fournir
- fournisseurs
- fournit
- requêtes
- Rapide
- augmenter
- soulève
- gamme
- ransomware
- réal
- raisonnable
- récemment
- recommander
- refonte
- réduire
- réduire
- réduction
- reportez-vous
- enregistrement
- pertinent
- dépendance
- compter
- s'appuyer
- éloigné
- demandes
- conditions
- Resources
- Réagir
- réponse
- des ondulations
- Analyse
- voler
- robuste
- rsa
- Courir
- pour le running
- s
- même
- dit
- Scientifique
- scott
- scénario
- sécurisé
- sécurisation
- sécurité
- séparé
- Serveurs
- service
- les fournisseurs de services
- Services
- set
- devrait
- Spectacles
- Signatures
- signé
- simplement
- SIX
- petit
- smart
- So
- Logiciels
- Solutions
- quelques
- Quelqu'un
- quelque chose
- parfois
- Identifier
- Sources
- spécial
- vitesse
- passer
- Sponsorisé
- Stabilité
- Commencez
- Étapes
- stockage
- force
- STRONG
- réussir
- succès
- tel
- Support
- sûr
- Surface
- soupçonneux
- combustion propre
- Système
- tactique
- Prenez
- Target
- équipe
- équipes
- Technique
- techniques
- Les technologies
- dire
- Avoir tendance
- que
- qui
- La
- leur
- Les
- puis
- Là.
- Ces
- l'ont
- chose
- this
- ceux
- menace
- acteurs de la menace
- des menaces
- prospère
- tout au long de
- fiable
- à
- trop
- outil
- les outils
- top
- suivre
- vos titres
- circulation
- procès
- dupé
- déclencher
- La confiance
- confiance
- type
- non autorisé
- devoiler
- comprendre
- compréhension
- Inattendu
- expérience unique et authentique
- utilisé
- d'utiliser
- Utilisateur
- utilisateurs
- en utilisant
- habituel
- les services publics
- utilitaire
- Précieux
- Ve
- vendeur
- fournisseurs
- très
- Victime
- définition
- souhaitez
- était
- Façon..
- we
- web
- WELL
- Quoi
- Qu’est ce qu'
- quand
- qui
- tout en
- WHO
- large
- Sauvage
- prêt
- fenêtre
- comprenant
- dans les
- écriture
- Vous n'avez
- zéphyrnet
- zéro
- confiance zéro