Mivel az ellenfelek egyre inkább törvényes eszközökre támaszkodnak rosszindulatú tevékenységeik elrejtésére, a vállalatvédőknek újra kell gondolniuk a hálózati architektúrát, hogy észleljék és megvédjék ezeket a támadásokat.
A „földről élő” (LotL) néven ismert taktikák arra utalnak, hogy az ellenfelek az áldozat környezetében őshonos, legitim eszközöket használnak támadásaik végrehajtására. Amikor a támadók saját rosszindulatú programjaik vagy eszközeik segítségével új eszközöket vezetnek be a környezetben, némi zajt keltenek a hálózaton. Ez felveti annak lehetőségét, hogy ezek az eszközök biztonsági riasztásokat indíthatnak el, és figyelmeztethetik a védelmezőket, hogy valaki illetéktelen tartózkodik a hálózaton, és gyanús tevékenységet végez. A meglévő eszközöket használó támadók megnehezítik a védők számára a rosszindulatú tevékenységek és a jogszerű tevékenységek elkülönítését.
Ahhoz, hogy a támadók több zajt keltsenek a hálózaton, az IT-biztonsági vezetőknek újra kell gondolniuk a hálózatot, hogy ne legyen olyan egyszerű a hálózaton való mozgás.
Az identitások biztosítása, a mozgások korlátozása
Az egyik megközelítés az erős hozzáférés-szabályozás alkalmazása és a privilegizált viselkedés elemzése, hogy a biztonsági csapat elemezze a hálózati forgalmat és a saját eszközeiből érkező hozzáférési kéréseket. A nulla bizalom erős privilegizált hozzáférés-szabályozással – például a legkisebb jogosultság elve – megnehezíti a támadók mozgását a hálózaton – mondja Joseph Carson, a Delinea CISO vezető biztonsági tudósa és tanácsadója.
„Ez arra kényszeríti őket, hogy olyan technikákat alkalmazzanak, amelyek több zajt és hullámzást keltenek a hálózaton” – mondja. "Nagyobb esélyt ad az IT-védőknek arra, hogy a támadás során sokkal korábban észleljék a jogosulatlan hozzáférést – még mielőtt esélyük lenne rosszindulatú szoftverek vagy zsarolóprogramok telepítésére."
Egy másik, hogy fontolja meg a felhőalapú hozzáférési biztonsági közvetítő (CASB) és a SASE (Security Access Service Edge) technológiákat, hogy megértse, ki (vagy mi) milyen erőforrásokhoz és rendszerekhez csatlakozik, ami kiemelheti a váratlan vagy gyanús hálózati áramlásokat. A CASB-megoldások célja, hogy biztonságot és láthatóságot biztosítsanak a felhőalapú szolgáltatásokat és alkalmazásokat alkalmazó szervezetek számára. Közvetítőként működnek a végfelhasználók és a felhőszolgáltatók között, és számos biztonsági ellenőrzést kínálnak, beleértve az adatvesztés megelőzését (DLP), a hozzáférés-szabályozást, a titkosítást és a fenyegetésészlelést.
A SASE egy biztonsági keretrendszer, amely a hálózati biztonsági funkciókat, például a biztonságos webes átjárókat, a szolgáltatásként működő tűzfalat és a zéró megbízhatóságú hálózati hozzáférést egyesíti olyan nagy kiterjedésű hálózati (WAN) képességekkel, mint például az SD-WAN (szoftver által meghatározott nagy kiterjedésű hálózat). ).
„A [LotL] támadási felület kezelésére nagy hangsúlyt kell fektetni” – mondja Gareth Lindahl-Wise, az Ontinue CISO-ja. "A támadók akkor sikeresek, ha a beépített vagy telepített eszközöket és folyamatokat túl sok végpontról használhatja túl sok identitás."
Ezek a tevékenységek természetüknél fogva viselkedési anomáliák, ezért kritikus fontosságú annak megértése, hogy mit figyelnek meg, és beépítsék a korrelációs platformokba, mondja Lindahl-Wise. A csapatoknak biztosítaniuk kell a lefedettséget a végpontoktól és az identitásoktól, majd idővel ezt hálózati csatlakozási információkkal kell gazdagítaniuk. A hálózati forgalom ellenőrzése segíthet más technikák feltárásában, még akkor is, ha maga a forgalom titkosított.
Bizonyítékokon alapuló megközelítés
A szervezeteknek bizonyítékokon alapuló megközelítést kell alkalmazniuk, és kell is alkalmazniuk, hogy rangsorolják, mely telemetriai forrásokat használják, hogy láthatóvá tegyenek a jogos közüzemi visszaéléseket.
„A nagyobb volumenű naplóforrások tárolásának költsége nagyon valós tényező, de a telemetriára fordított kiadásokat olyan források szerint kell optimalizálni, amelyek ablakot adnak a vadon leggyakrabban megfigyelt és a szervezet számára relevánsnak ítélt fenyegetésekre, beleértve a visszaélt közműveket is. ” – mondja Scott Small, a Tidal Cyber fenyegetésekkel kapcsolatos hírszerzési igazgatója.
Számos közösségi erőfeszítés teszi ezt a folyamatot a korábbinál gyakorlatiasabbá, beleértve a „LOLBAS” nyílt forráskódú projektet, amely több száz kulcsfontosságú segédprogram potenciálisan rosszindulatú alkalmazásait követi nyomon – mutat rá.
Mindeközben a MITER ATT&CK, a Fenyegetés-informált Védelem Központja és a biztonsági eszközök szállítóinak egyre növekvő katalógusa lehetővé teszi, hogy ugyanazon ellenséges viselkedésből közvetlenül diszkrét, releváns adat- és naplóforrásokká alakíthatók át.
„A legtöbb szervezet számára nem praktikus, hogy minden ismert naplóforrást folyamatosan nyomon kövessen” – jegyzi meg Small. "A LOBAS projekt adatainak elemzése azt mutatja, hogy ezek a LotL segédprogramok gyakorlatilag minden típusú rosszindulatú tevékenység végrehajtására használhatók."
Ezek a védelmi kijátszástól a privilégiumok fokozásáig, a kitartásig, a hitelesítő adatokhoz való hozzáférésig, sőt a kiszivárgásig és a hatásig terjednek.
„Ez azt is jelenti, hogy több tucat olyan különálló adatforrás létezik, amelyek rálátást biztosíthatnak ezen eszközök rosszindulatú használatára – túl sok ahhoz, hogy reálisan, átfogóan és hosszú ideig naplózzanak” – mondja Small.
A közelebbi elemzés azonban megmutatja, hol létezik klaszterezés (és egyedi források) – például a 48 adatforrásból mindössze hat releváns a LOLBAS-szal kapcsolatos technikák több mint háromnegyedénél (82%).
„Ez lehetőséget biztosít a telemetria beépítésére vagy optimalizálására közvetlenül a földön kívüli élet legjobb technikáinak megfelelően, vagy a szervezet által a legfontosabbnak tartott közművekhez kapcsolódó speciális technikákkal” – mondja Small.
Gyakorlati lépések IT-biztonsági vezetők számára
Az IT-biztonsági csapatok számos praktikus és ésszerű lépést tehetnek a szárazföldön élő támadók felderítésére, amennyiben rálátásuk van az eseményekre.
„Bár nagyszerű a hálózat láthatósága, a végpontokról – mind a munkaállomásokról, mind a szerverekről – érkező események ugyanolyan értékesek, ha jól használják őket” – mondja Randy Pargman, a Proofpoint fenyegetésészlelési igazgatója.
Például a közelmúltban számos fenyegetés szereplője által használt LotL-technikák egyike a legitim távoli megfigyelési és felügyeleti (RMM) szoftver telepítése.
A támadók előnyben részesítik az RMM-eszközöket, mert megbízhatóak, digitálisan aláírtak, és nem adnak ki víruskereső vagy végpont-észlelési és válaszadási (EDR) riasztásokat, emellett könnyen használhatók, és a legtöbb RMM-gyártó rendelkezik egy teljes értékű ingyenes próbaverzióval.
A biztonsági csapatok előnye, hogy az összes RMM-eszköz nagyon kiszámítható viselkedéssel rendelkezik, beleértve a digitális aláírásokat, a módosított rendszerleíró kulcsokat, a kikeresett tartományneveket és a keresendő folyamatneveket.
"Nagy sikerem volt az RMM-eszközök behatolók használatának észlelésében, egyszerűen az összes szabadon elérhető RMM-eszköz észlelési aláírásával, és kivételt tettem a jóváhagyott eszköznél, ha van ilyen" - mondja Pargman.
Segít, ha csak egy RMM-szállító engedélyezett a használatára, és ha azt mindig ugyanúgy telepítik – például a rendszerképalkotás során vagy egy speciális szkripttel –, hogy könnyen meg lehessen különböztetni az engedélyezett telepítést a fenyegetés cselekvője, aki becsapja a felhasználót a telepítés futtatására – teszi hozzá.
„Sok más, ehhez hasonló észlelési lehetőség van, kezdve a listával LOLBAS– mondja Pargman. „A fenyegetésvadászó lekérdezéseket futtatva az összes végponti eseményen, a biztonsági csapatok megtalálhatják a környezetükben a normál használati mintákat, majd egyéni riasztási lekérdezéseket hozhatnak létre a rendellenes használati minták észlelésére.”
Lehetőségek vannak arra is, hogy korlátozzák a támadók által előnyben részesített beépített eszközökkel való visszaélést, például módosítsák a szkriptfájlok megnyitásához használt alapértelmezett programot (.js, .jse, .vbs, .vbe, .wsh stb. fájlkiterjesztések). hogy dupla kattintásra nem nyílnak meg a WScript.exe fájlban.
"Ez segít elkerülni, hogy a végfelhasználókat rosszindulatú szkript futtatására csalják rá" - mondja Pargman.
A hitelesítő adatokra való támaszkodás csökkentése
Rob Hughes, az RSA informatikai igazgatója szerint a szervezeteknek csökkenteniük kell a hitelesítő adatokra való támaszkodásukat a kapcsolatok létrehozásához. Hasonlóképpen, a szervezeteknek riasztást kell küldeniük a rendellenes és sikertelen kísérletekről és a kiugró eseményekről, hogy a biztonsági csapatok rálátást biztosítsanak arra, hol van szó a titkosított láthatóságról. A LotL támadások észlelésének egyik módja annak megértése, hogy a rendszerkommunikációban hogyan néz ki a „normális” és „jó”, és a kiugró értékek azonosítása.
Egy gyakran figyelmen kívül hagyott terület, amely egyre nagyobb figyelmet kap, a szolgáltatási fiókok, amelyek általában szabályozatlanok, gyengén védettek, és a szárazföldi támadások elsődleges célpontja.
„A háttérben végzik a munkánkat. Hajlamosak vagyunk megbízni bennük – valószínűleg túlságosan is” – mondja Hughes. „Ezeken a fiókokon is készletet, tulajdonjogot és erős hitelesítési mechanizmusokat szeretne.”
Az utolsó rész megvalósítása nehezebb lehet, mivel a szolgáltatásfiókok nem interaktívak, így a szokásos többtényezős hitelesítési (MFA) mechanizmusok, amelyekre a szervezetek a felhasználókkal támaszkodnak, nem játszanak szerepet.
„Mint minden hitelesítésnek, ennek is megvan a maga erőssége” – mondja Hughes. „Javaslom, hogy válasszunk egy erős mechanizmust, és gondoskodjunk arról, hogy a biztonsági csapatok naplózzanak és válaszoljanak minden interaktív bejelentkezésre a szolgáltatási fiókból. Ezeknek nem szabadna megtörténniük."
Megfelelő időbefektetés szükséges
A biztonság kultúrájának felépítése nem kell, hogy drága legyen, de kész vezetésre van szüksége az ügy támogatásához és kiállásához.
Az időben történő befektetés néha a legnagyobb befektetés, mondja Hughes. Ám az erős identitás-ellenőrzés kifejtése a szervezeten belül és az egész szervezeten belül nem kell, hogy költséges erőfeszítés legyen ahhoz képest, hogy ezzel a kockázat csökkenti.
„A biztonság a stabilitáson és a következetességen alapszik, de ezt üzleti környezetben nem mindig tudjuk ellenőrizni” – mondja. "Intelligens befektetéseket hajtson végre a technikai adósság csökkentésére olyan rendszerekben, amelyek nem kompatibilisek az MFA-val vagy az erős személyazonosság-ellenőrzéssel vagy nem működnek együtt."
Minden az észlelés és a válasz sebességén múlik, mondja Pargman.
„Olyan sok esetben, amit megvizsgáltam, a védők számára a legnagyobb pozitív változást az jelentette, hogy egy éber SecOps elemző gyorsan reagált, aki észrevett valami gyanúsat, kivizsgálta és megtalálta a behatolást, mielőtt a fenyegetőzőnek lehetősége lett volna terjeszkedni. befolyásuk” – mondja.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :is
- :nem
- :ahol
- $ UP
- 7
- a
- rendellenes
- Rólunk
- visszaélés
- hozzáférés
- Szerint
- Fiók
- Fiókok
- Elérése
- át
- törvény
- cselekvések
- tevékenységek
- tevékenység
- szereplők
- Hozzáteszi
- megfelelő
- elfogadja
- Előny
- ellenséges
- tanácsadó
- ellen
- Éber
- Figyelmeztetések
- Minden termék
- lehetővé
- Is
- mindig
- an
- elemzés
- elemző
- analitika
- elemez
- és a
- anomáliák
- víruskereső
- bármilyen
- alkalmazások
- alkalmaz
- megközelítés
- jóváhagyott
- építészet
- VANNAK
- TERÜLET
- körül
- AS
- társult
- At
- támadás
- Támadások
- Kísérletek
- figyelem
- Hitelesítés
- felhatalmazott
- elérhető
- elkerülése érdekében
- háttér
- BE
- mert
- előtt
- viselkedés
- viselkedési
- viselkedés
- hogy
- Jobb
- között
- Legnagyobb
- mindkét
- bróker
- épít
- beépített
- üzleti
- de
- by
- TUD
- képességek
- visz
- szállítás
- esetek
- katalógus
- Okoz
- Központ
- bajnok
- esély
- változó
- fő
- CIO
- CISO
- közelebb
- felhő
- felhő szolgáltatások
- csoportosítás
- kombinálása
- érkező
- távközlés
- közösség
- összehasonlítás
- összeegyeztethető
- Csatlakozó
- kapcsolatok
- Connectivity
- Fontolja
- ellenőrzés
- ellenőrzések
- szövetkezet
- Összefüggés
- Költség
- tudott
- lefedettség
- teremt
- HITELEZÉS
- Hitelesítő adatok
- kritikai
- kultúra
- szokás
- cyber
- dátum
- adatvesztés
- Adósság
- tekinteni
- alapértelmezett
- Védők
- Védelem
- telepített
- bevezetéséhez
- tervezett
- kimutatására
- Érzékelés
- különbség
- digitális
- digitálisan
- közvetlenül
- Igazgató
- do
- nem
- nem
- Ennek
- domain
- DOMAIN NEVEK
- tucat
- alatt
- Korábban
- könnyű
- él
- erőfeszítések
- titkosított
- titkosítás
- végén
- törekvés
- Endpoint
- gazdagítják
- biztosítására
- Vállalkozás
- Környezet
- környezetek
- eszkaláció
- létrehozni
- stb.
- adócsalás
- Még
- események
- Minden
- példa
- kivétel
- kiszűrés
- létezik
- létező
- Bontsa
- drága
- kiterjesztések
- tényező
- Sikertelen
- kedvez
- jellegű
- táplálás
- filé
- Fájlok
- Találjon
- flow
- Összpontosít
- A
- Kényszer
- erők
- talált
- Keretrendszer
- Ingyenes
- ingyenes próbaverzió
- önként
- ból ből
- teljesen
- funkciók
- Nyereség
- átjárók
- kap
- GitHub
- Ad
- ad
- jó
- nagy
- Növekvő
- kellett
- Esemény
- nehezebb
- Legyen
- he
- segít
- segít
- elrejt
- legnagyobb
- Kiemel
- Hogyan
- HTTPS
- Több száz
- i
- azonosító
- identitások
- Identitás
- if
- Leképezés
- Hatás
- in
- Beleértve
- beleértve a digitális
- egyre inkább
- befolyás
- információ
- telepíteni
- telepítés
- telepítve
- Intelligencia
- interaktív
- közvetítők
- bele
- bevezet
- leltár
- beruházás
- Beruházások
- IT
- ez biztonság
- maga
- jpg
- éppen
- Kulcs
- kulcsok
- ismert
- Telek
- legnagyobb
- keresztnév
- vezetők
- Vezetés
- legkevésbé
- jogos
- mint
- Valószínű
- LIMIT
- korlátozó
- vonal
- Lista
- élő
- log
- Hosszú
- néz
- hasonló
- nézett
- le
- Sok
- készült
- csinál
- KÉSZÍT
- Gyártás
- rosszindulatú
- malware
- vezetés
- kezelése
- sok
- eszközök
- mechanizmus
- mechanizmusok
- MFA
- módosított
- monitor
- ellenőrizni
- ellenőrzés
- több
- a legtöbb
- mozog
- mozgások
- mozgó
- sok
- többtényezős hitelesítés
- kell
- nevek
- bennszülött
- Természet
- Szükség
- hálózat
- Network Security
- hálózati forgalom
- Új
- Zaj
- normális
- Megjegyzések
- of
- kedvezmény
- felajánlás
- gyakran
- on
- Fedélzeti
- ONE
- azok
- csak
- nyitva
- nyílt forráskódú
- Lehetőségek
- Optimalizálja
- optimalizált
- opció
- or
- érdekében
- szervezet
- szervezetek
- Más
- mi
- ki
- felett
- saját
- tulajdon
- rész
- különös
- minták
- időszakok
- kitartás
- szedés
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- játszani
- plusz
- pont
- pozitív
- lehetőség
- potenciálisan
- Gyakorlati
- gyakorlatilag
- Kiszámítható
- jobban szeret
- Megelőzés
- Első
- alapelv
- prioritások
- prioritás
- kiváltság
- kiváltságos
- folyamat
- Folyamatok
- Program
- program
- védett
- ad
- szolgáltatók
- biztosít
- lekérdezések
- Quick
- emel
- emelés
- hatótávolság
- ransomware
- igazi
- ésszerű
- nemrég
- ajánl
- újratervezés
- csökkenteni
- csökkentő
- csökkentés
- utal
- iktató hivatal
- bizalom
- támaszkodnak
- támaszkodva
- távoli
- kéri
- kötelező
- Tudástár
- Reagálni
- válasz
- hullámai
- Kockázat
- rabol
- erős
- rsa
- futás
- futás
- s
- azonos
- azt mondja,
- Tudós
- scott
- forgatókönyv
- biztonság
- biztosítása
- biztonság
- különálló
- Szerverek
- szolgáltatás
- szolgáltatók
- Szolgáltatások
- készlet
- kellene
- Műsorok
- aláírások
- aláírt
- egyszerűen
- SIX
- kicsi
- okos
- So
- szoftver
- Megoldások
- néhány
- Valaki
- valami
- néha
- forrás
- Források
- speciális
- sebesség
- költ
- Szponzorált
- Stabilitás
- Kezdve
- Lépései
- tárolása
- erő
- erős
- sikerül
- siker
- ilyen
- támogatás
- biztos
- felületi
- gyanús
- rendszer
- Systems
- taktika
- Vesz
- cél
- csapat
- csapat
- Műszaki
- technikák
- Technologies
- mondd
- Inkább
- mint
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- dolog
- ezt
- azok
- fenyegetés
- fenyegetés szereplői
- fenyegetések
- virágzik
- egész
- idő
- nak nek
- is
- szerszám
- szerszámok
- felső
- vágány
- pályák
- forgalom
- próba
- átvert
- kiváltó
- Bízzon
- Megbízható
- típus
- jogtalan
- feltárni
- megért
- megértés
- Váratlan
- egyedi
- használ
- használt
- használó
- Felhasználók
- segítségével
- szokásos
- segédprogramok
- hasznosság
- Értékes
- Ve
- eladó
- gyártók
- nagyon
- Áldozat
- láthatóság
- akar
- volt
- Út..
- we
- háló
- JÓL
- Mit
- Mi
- amikor
- ami
- míg
- WHO
- széles
- Vadon
- hajlandó
- ablak
- val vel
- belül
- írás
- te
- zephyrnet
- nulla
- nulla bizalom