Dengan semakin banyaknya musuh yang mengandalkan alat yang sah untuk menyembunyikan aktivitas jahat mereka, para pembela perusahaan harus memikirkan kembali arsitektur jaringan untuk mendeteksi dan mempertahankan diri dari serangan-serangan ini.
Dikenal sebagai โliving off the landโ (LotL), taktik ini mengacu pada bagaimana musuh menggunakan alat asli dan sah di lingkungan korban untuk melakukan serangan. Ketika penyerang memperkenalkan alat-alat baru di lingkungan dengan menggunakan malware atau alat-alat mereka sendiri, mereka menciptakan gangguan pada jaringan. Hal ini meningkatkan kemungkinan bahwa alat-alat tersebut dapat memicu alarm keamanan dan memperingatkan pembela bahwa ada orang yang tidak berwenang berada di jaringan dan melakukan aktivitas mencurigakan. Penyerang yang menggunakan alat yang ada mempersulit pembela HAM untuk memisahkan tindakan jahat dari aktivitas sah.
Untuk memaksa penyerang menciptakan lebih banyak gangguan pada jaringan, pemimpin keamanan TI harus memikirkan ulang jaringan sehingga pergerakan di dalam jaringan tidaklah mudah.
Mengamankan Identitas, Membatasi Pergerakan
Salah satu pendekatannya adalah dengan menerapkan kontrol akses yang kuat dan memantau analisis perilaku istimewa sehingga tim keamanan dapat menganalisis lalu lintas jaringan dan permintaan akses yang berasal dari alat mereka sendiri. Tidak adanya kepercayaan dengan kontrol akses istimewa yang kuat โ seperti prinsip hak istimewa paling rendah โ mempersulit penyerang untuk bergerak di sekitar jaringan, kata Joseph Carson, kepala ilmuwan keamanan dan penasihat CISO di Delinea.
โHal ini memaksa mereka untuk menggunakan teknik yang menciptakan lebih banyak gangguan dan riak di jaringan,โ katanya. โHal ini memberikan kesempatan yang lebih baik bagi pembela TI untuk mendeteksi akses tidak sah jauh lebih awal โ sebelum mereka memiliki kesempatan untuk menyebarkan perangkat lunak berbahaya atau ransomware.โ
Cara lainnya adalah dengan mempertimbangkan teknologi broker keamanan akses cloud (CASB) dan teknologi secure access service edge (SASE) untuk memahami siapa (atau apa) yang terhubung ke sumber daya dan sistem tertentu, yang dapat menyoroti aliran jaringan yang tidak terduga atau mencurigakan. Solusi CASB dirancang untuk memberikan keamanan dan visibilitas bagi organisasi yang mengadopsi layanan dan aplikasi cloud. Mereka bertindak sebagai perantara antara pengguna akhir dan penyedia layanan cloud, menawarkan serangkaian kontrol keamanan, termasuk pencegahan kehilangan data (DLP), kontrol akses, enkripsi, dan deteksi ancaman.
SASE adalah kerangka keamanan yang menggabungkan fungsi keamanan jaringan, seperti gateway Web yang aman, firewall-as-a-service, dan akses jaringan zero-trust, dengan kemampuan jaringan area luas (WAN) seperti SD-WAN (jaringan area luas yang ditentukan perangkat lunak ).
โHarus ada fokus yang kuat dalam mengelola permukaan serangan [LotL],โ kata Gareth Lindahl-Wise, CISO di Ontinue. โPenyerang berhasil jika alat dan proses yang terpasang atau diterapkan dapat digunakan dari terlalu banyak titik akhir dengan terlalu banyak identitas.โ
Kegiatan-kegiatan ini, pada dasarnya, merupakan anomali perilaku, jadi memahami apa yang dipantau dan dimasukkan ke dalam platform korelasi sangatlah penting, kata Lindahl-Wise. Tim harus memastikan cakupan dari titik akhir dan identitas dan kemudian memperkayanya dengan informasi konektivitas jaringan. Inspeksi lalu lintas jaringan dapat membantu mengungkap teknik lain, meskipun lalu lintas itu sendiri dienkripsi.
Pendekatan Berbasis Bukti
Organisasi dapat dan harus mengambil pendekatan berbasis bukti untuk memprioritaskan sumber telemetri mana yang mereka gunakan untuk mendapatkan visibilitas terhadap penyalahgunaan utilitas yang sah.
โBiaya penyimpanan sumber kayu dengan volume lebih tinggi merupakan faktor yang sangat nyata, namun pengeluaran untuk telemetri harus dioptimalkan sesuai dengan sumber yang memberikan gambaran mengenai ancaman, termasuk penyalahgunaan utilitas, yang paling sering diamati di alam liar dan dianggap relevan bagi organisasi. ,โ kata Scott Small, direktur intelijen ancaman di Tidal Cyber.
Berbagai upaya komunitas menjadikan proses ini lebih praktis dibandingkan sebelumnya, termasuk proyek sumber terbuka โLOLBASโ, yang melacak aplikasi yang berpotensi berbahaya dari ratusan utilitas utama, jelasnya.
Sementara itu, katalog sumber daya yang terus bertambah dari MITRE ATT&CK, Center for Threat-Informed Defense, dan vendor alat keamanan memungkinkan penerjemahan perilaku permusuhan yang sama secara langsung ke sumber data dan log yang terpisah dan relevan.
โTidaklah praktis bagi sebagian besar organisasi untuk melacak sepenuhnya setiap sumber log yang diketahui sepanjang waktu,โ catatan Small. โAnalisis kami terhadap data dari proyek LOBAS menunjukkan utilitas LotL ini dapat digunakan untuk melakukan hampir semua jenis aktivitas jahat.โ
Mulai dari penghindaran pertahanan hingga peningkatan hak istimewa, persistensi, akses kredensial, dan bahkan eksfiltrasi dan dampak.
โIni juga berarti terdapat lusinan sumber data terpisah yang dapat memberikan visibilitas terhadap penggunaan alat-alat ini yang berbahaya โ terlalu banyak untuk dicatat secara realistis secara komprehensif dan dalam jangka waktu yang lama,โ kata Small.
Namun, analisis lebih dekat menunjukkan keberadaan pengelompokan (dan sumber unik) โ misalnya, hanya enam dari 48 sumber data yang relevan untuk lebih dari tiga perempat (82%) teknik terkait LOLBAS.
โHal ini memberikan peluang untuk menerapkan atau mengoptimalkan telemetri secara langsung sejalan dengan teknik-teknik terbaik untuk hidup di luar lahan, atau teknik tertentu yang terkait dengan utilitas yang dianggap sebagai prioritas tertinggi oleh organisasi,โ kata Small.
Langkah Praktis untuk Pemimpin Keamanan TI
Tim keamanan TI dapat mengambil banyak langkah praktis dan masuk akal untuk mendeteksi penyerang yang tinggal di luar wilayah tersebut, selama mereka dapat melihat kejadian-kejadian tersebut.
โMeskipun memiliki visibilitas jaringan merupakan hal yang bagus, peristiwa dari titik akhir โ baik stasiun kerja maupun server โ sama berharganya jika digunakan dengan baik,โ kata Randy Pargman, direktur deteksi ancaman di Proofpoint.
Misalnya, salah satu teknik LotL yang digunakan oleh banyak pelaku ancaman baru-baru ini adalah menginstal perangkat lunak pemantauan dan manajemen jarak jauh (RMM) yang sah.
Para penyerang lebih memilih alat RMM karena alat tersebut tepercaya, ditandatangani secara digital, dan tidak akan mengaktifkan peringatan deteksi dan respons titik akhir (EDR) atau antivirus, ditambah alat tersebut mudah digunakan dan sebagian besar vendor RMM memiliki opsi uji coba gratis berfitur lengkap.
Keuntungan bagi tim keamanan adalah semua alat RMM memiliki perilaku yang sangat dapat diprediksi, termasuk tanda tangan digital, kunci registri yang diubah, nama domain yang dicari, dan nama proses yang harus dicari.
โSaya telah sukses besar dalam mendeteksi penggunaan alat RMM oleh penyusup hanya dengan menulis tanda tangan deteksi untuk semua alat RMM yang tersedia secara gratis, dan membuat pengecualian untuk alat yang disetujui, jika ada,โ kata Pargman.
Akan membantu jika hanya satu vendor RMM yang diizinkan untuk digunakan, dan jika vendor tersebut selalu diinstal dengan cara yang sama โ misalnya selama pencitraan sistem atau dengan skrip khusus โ sehingga mudah untuk membedakan antara instalasi resmi dan a aktor ancaman yang menipu pengguna agar menjalankan instalasi, tambahnya.
โMasih banyak peluang deteksi lain seperti ini, dimulai dengan daftar di LOLBA, kata Pargman. โDengan menjalankan kueri perburuan ancaman di seluruh peristiwa titik akhir, tim keamanan dapat menemukan pola penggunaan normal di lingkungan mereka, lalu membuat kueri peringatan khusus untuk mendeteksi pola penggunaan yang tidak normal.โ
Ada juga peluang untuk membatasi penyalahgunaan alat bawaan yang disukai penyerang, seperti mengubah program default yang digunakan untuk membuka file skrip (ekstensi file .js, .jse, .vbs, .vbe, .wsh, dll.) sehingga agar tidak terbuka di WScript.exe ketika diklik dua kali.
โHal ini membantu menghindari pengguna akhir tertipu untuk menjalankan skrip berbahaya,โ kata Pargman.
Mengurangi Ketergantungan pada Kredensial
Organisasi perlu mengurangi ketergantungan mereka pada kredensial untuk membangun koneksi, menurut Rob Hughes, CIO RSA. Demikian pula, organisasi perlu meningkatkan peringatan tentang upaya dan outlier yang anomali dan gagal untuk memberikan visibilitas kepada tim keamanan di mana visibilitas terenkripsi berperan. Memahami seperti apa tampilan โnormalโ dan โbaikโ dalam komunikasi sistem dan mengidentifikasi outlier adalah cara untuk mendeteksi serangan LotL.
Area yang sering diabaikan dan mulai mendapat lebih banyak perhatian adalah akun layanan, yang cenderung tidak diatur, tidak terlindungi dengan baik, dan menjadi target utama serangan berbasis darat.
โMereka menjalankan beban kerja kami di latar belakang. Kita cenderung mempercayai mereka โ mungkin terlalu berlebihan,โ kata Hughes. โAnda juga menginginkan inventaris, kepemilikan, dan mekanisme autentikasi yang kuat pada akun ini.โ
Bagian terakhir mungkin lebih sulit dicapai karena akun layanan tidak interaktif, sehingga mekanisme autentikasi multifaktor (MFA) yang biasa diandalkan organisasi dengan pengguna tidak berfungsi.
โSeperti autentikasi lainnya, ada tingkat kekuatannya,โ kata Hughes. โSaya sarankan memilih mekanisme yang kuat dan memastikan tim keamanan mencatat dan merespons setiap login interaktif dari akun layanan. Hal itu seharusnya tidak terjadi.โ
Diperlukan Investasi Waktu yang Cukup
Membangun budaya keamanan tidak harus mahal, namun Anda memerlukan kepemimpinan yang bersedia mendukung dan memperjuangkan tujuan tersebut.
Investasi waktu terkadang merupakan investasi terbesar yang harus dilakukan, kata Hughes. Namun menerapkan kontrol identitas yang kuat di seluruh organisasi tidak harus menjadi upaya yang mahal dibandingkan dengan pengurangan risiko yang dapat dicapai dengan melakukan hal tersebut.
โKeamanan berkembang pesat berkat stabilitas dan konsistensi, namun kita tidak selalu bisa mengendalikannya dalam lingkungan bisnis,โ katanya. โLakukan investasi cerdas dalam mengurangi utang teknis dalam sistem yang tidak kompatibel atau kooperatif dengan MFA atau kontrol identitas yang kuat.โ
Ini semua tentang kecepatan deteksi dan respons, kata Pargman.
โDalam banyak kasus yang saya selidiki, hal yang memberikan perbedaan positif terbesar bagi para pembela HAM adalah respons cepat dari analis SecOps yang waspada dan menyadari sesuatu yang mencurigakan, menyelidiki, dan menemukan penyusupan sebelum pelaku ancaman sempat memperluas jangkauannya. pengaruh mereka,โ katanya.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.darkreading.com/identity-access-management-security/redesigning-the-network-to-fend-off-living-off-the-land-tactics
- :adalah
- :bukan
- :Di mana
- $NAIK
- 7
- a
- abnormal
- Tentang Kami
- penyalahgunaan
- mengakses
- Menurut
- Akun
- Akun
- Mencapai
- di seluruh
- Bertindak
- tindakan
- kegiatan
- kegiatan
- aktor
- Menambahkan
- memadai
- mengambil
- Keuntungan
- permusuhan
- laporan
- terhadap
- Waspada
- Alerts
- Semua
- mengizinkan
- juga
- selalu
- an
- analisis
- analis
- analisis
- menganalisa
- dan
- kelainan
- antivirus
- Apa pun
- aplikasi
- Mendaftar
- pendekatan
- disetujui
- arsitektur
- ADALAH
- DAERAH
- sekitar
- AS
- terkait
- At
- menyerang
- Serangan
- Mencoba
- perhatian
- Otentikasi
- berwenang
- tersedia
- menghindari
- latar belakang
- BE
- karena
- sebelum
- laku
- perilaku
- perilaku
- makhluk
- Lebih baik
- antara
- Terbesar
- kedua
- makelar
- membangun
- built-in
- bisnis
- tapi
- by
- CAN
- kemampuan
- membawa
- membawa
- kasus
- katalog
- Menyebabkan
- pusat
- juara
- kesempatan
- mengubah
- kepala
- CIO
- CISO
- lebih dekat
- awan
- layanan cloud
- kekelompokan
- menggabungkan
- kedatangan
- komunikasi
- masyarakat
- perbandingan
- cocok
- Menghubungkan
- Koneksi
- Konektivitas
- Mempertimbangkan
- kontrol
- kontrol
- koperasi
- Korelasi
- Biaya
- bisa
- liputan
- membuat
- MANDAT
- Surat kepercayaan
- kritis
- budaya
- adat
- maya
- data
- kehilangan data
- Hutang
- dianggap
- Default
- Pembela
- Pertahanan
- dikerahkan
- penggelaran
- dirancang
- menemukan
- Deteksi
- perbedaan
- digital
- digital
- langsung
- Kepala
- do
- tidak
- doesn
- melakukan
- domain
- NAMA DOMAIN
- puluhan
- selama
- Terdahulu
- Mudah
- Tepi
- upaya
- terenkripsi
- enkripsi
- akhir
- berusaha keras
- Titik akhir
- memperkaya
- memastikan
- Enterprise
- Lingkungan Hidup
- lingkungan
- eskalasi
- menetapkan
- dll
- penghindaran
- Bahkan
- peristiwa
- Setiap
- contoh
- pengecualian
- pengelupasan kulit
- ada
- ada
- Lihat lebih lanjut
- mahal
- ekstensi
- faktor
- Gagal
- mendukung
- fitur
- pemberian makanan
- File
- File
- Menemukan
- Mengalir
- Fokus
- Untuk
- kekuatan
- pasukan
- ditemukan
- Kerangka
- Gratis
- percobaan gratis
- bebas
- dari
- sepenuhnya
- fungsi
- Mendapatkan
- gateway
- mendapatkan
- GitHub
- Memberikan
- memberikan
- baik
- besar
- Pertumbuhan
- memiliki
- Kejadian
- sulit
- Memiliki
- he
- membantu
- membantu
- menyembunyikan
- paling tinggi
- Menyoroti
- Seterpercayaapakah Olymp Trade? Kesimpulan
- HTTPS
- Ratusan
- i
- mengidentifikasi
- identitas
- identitas
- if
- Pencitraan
- Dampak
- in
- Termasuk
- termasuk digital
- makin
- mempengaruhi
- informasi
- install
- instalasi
- diinstal
- Intelijen
- interaktif
- perantara
- ke
- memperkenalkan
- inventaris
- investasi
- Investasi
- IT
- itu keamanan
- Diri
- jpg
- hanya
- kunci
- kunci-kunci
- dikenal
- Tanah
- terbesar
- Terakhir
- pemimpin
- Kepemimpinan
- paling sedikit
- sah
- 'like'
- Mungkin
- MEMBATASI
- membatasi
- baris
- Daftar
- hidup
- mencatat
- Panjang
- melihat
- terlihat seperti
- tampak
- lepas
- Lot
- terbuat
- membuat
- MEMBUAT
- Membuat
- jahat
- malware
- pengelolaan
- pelaksana
- banyak
- cara
- mekanisme
- mekanisme
- MFA
- dimodifikasi
- Memantau
- dipantau
- pemantauan
- lebih
- paling
- pindah
- gerak-gerik
- bergerak
- banyak
- otentikasi multifaktor
- harus
- nama
- asli
- Alam
- Perlu
- jaringan
- Keamanan jaringan
- lalu lintas jaringan
- New
- Kebisingan
- normal
- Catatan
- of
- lepas
- menawarkan
- sering
- on
- Di atas kapal
- ONE
- yang
- hanya
- Buka
- open source
- Peluang
- Optimize
- dioptimalkan
- pilihan
- or
- urutan
- organisasi
- organisasi
- Lainnya
- kami
- di luar
- lebih
- sendiri
- kepemilikan
- bagian
- tertentu
- pola
- periode
- ketekunan
- memilih
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Bermain
- plus
- poin
- positif
- kemungkinan
- berpotensi
- Praktis
- praktis
- Bisa ditebak
- lebih suka
- Pencegahan
- Perdana
- prinsip
- memprioritaskan
- prioritas
- hak istimewa
- istimewa
- proses
- proses
- program
- proyek
- terlindung
- memberikan
- penyedia
- menyediakan
- query
- Cepat
- menaikkan
- meningkatkan
- jarak
- ransomware
- nyata
- masuk akal
- baru-baru ini
- sarankan
- mendesain ulang
- menurunkan
- mengurangi
- pengurangan
- lihat
- pendaftaran
- relevan
- kepercayaan
- mengandalkan
- mengandalkan
- terpencil
- permintaan
- wajib
- Sumber
- Menanggapi
- tanggapan
- riak
- Risiko
- merampok
- kuat
- RSA
- Run
- berjalan
- s
- sama
- mengatakan
- ilmuwan
- scott
- naskah
- aman
- mengamankan
- keamanan
- terpisah
- Server
- layanan
- penyedia jasa
- Layanan
- set
- harus
- Pertunjukkan
- Tanda tangan
- tertanda
- hanya
- ENAM
- kecil
- pintar
- So
- Perangkat lunak
- Solusi
- beberapa
- Seseorang
- sesuatu
- kadang-kadang
- sumber
- sumber
- khusus
- kecepatan
- menghabiskan
- Disponsori
- Stabilitas
- Mulai
- Tangga
- menyimpan
- kekuatan
- kuat
- berhasil
- sukses
- seperti itu
- mendukung
- yakin
- Permukaan
- mencurigakan
- sistem
- sistem
- taktik
- Mengambil
- target
- tim
- tim
- Teknis
- teknik
- Teknologi
- mengatakan
- Cenderung
- dari
- bahwa
- Grafik
- mereka
- Mereka
- kemudian
- Sana.
- Ini
- mereka
- hal
- ini
- itu
- ancaman
- aktor ancaman
- ancaman
- tumbuh subur
- di seluruh
- waktu
- untuk
- terlalu
- alat
- alat
- puncak
- jalur
- trek
- lalu lintas
- percobaan
- terbujuk
- memicu
- Kepercayaan
- Terpercaya
- mengetik
- tidak sah
- menemukan
- memahami
- pemahaman
- Tiba-tiba
- unik
- menggunakan
- bekas
- Pengguna
- Pengguna
- menggunakan
- biasa
- keperluan
- kegunaan
- Berharga
- Ve
- penjaja
- vendor
- sangat
- Korban
- jarak penglihatan
- ingin
- adalah
- Cara..
- we
- jaringan
- BAIK
- Apa
- Apa itu
- ketika
- yang
- sementara
- SIAPA
- lebar
- Liar
- rela
- jendela
- dengan
- dalam
- penulisan
- Kamu
- zephyrnet.dll
- nol
- nol kepercayaan